PixieMe / Shutterstock
Forscher des Safety-Anbieters Huntress sind kürzlich auf eine neue ClickFix-Kampagne gestoßen, die auf Mitarbeiter in Unternehmen zielt. Laut Forschungsbericht haben die Angreifer ihre Malware dabei in den Pixeln eines Bildes versteckt, das eine Home windows-Replace-Seite vortäuscht. Dort werden die Benutzer aufgefordert, auf Ausführen zu klicken, um einen bösartigen Befehl einzufügen und auszuführen.
Dieser Befehl liefert Infostealer LummaC2 und Rhadamanthys aus. Huntress weist darauf hin, dass sein Bericht nach dem 13. November veröffentlicht wurde, als der Ermittlungserfolg gegen Rhadamanthys bekannt gegeben wurde. Demnach hosteten mehrere aktive Domains noch am 19. November die gefälschte Home windows Replace -Seite, die mit der Rhadamanthys-Kampagne in Verbindung steht. „Alle Pretend-Seiten verweisen auf dieselbe codierte URL-Struktur, die zuvor mit dem Einsatz von Rhadamanthys in Verbindung stand“, so die Forscher. Die Payload wird jedoch offenbar nicht mehr gehostet.
ClickFix-Angriffe sind nichts Neues
Experten haben bereits zuvor vor ClickFix-Angriffen (manchmal auch als „Pastejacking“ bezeichnet) gewarnt. Sie beginnen oft mit einem Phishing-Köder, der das Opfer auf eine realistisch aussehende gefälschte Touchdown Web page lockt, die vorgibt, eine Home windows Replace-Seite oder eine Web site einer Regierungsbehörde zu sein. Der Kern des Angriffs besteht darin, den Benutzern Anweisungen zu geben, die das Klicken auf Eingabeaufforderungen und das Kopieren, Einfügen und Ausführen von Befehlen direkt im Home windows-Dialogfeld „Ausführen“, Home windows Terminal oder Home windows PowerShell beinhalten. Dies führt zum Herunterladen von Skripten, die Malware starten.
