Gefälschtes Windows-Update stiehlt Passwörter und Krypto-Wallets.

Cyberkriminelle haben die berüchtigte ClickFix-Malware aktualisiert, sodass sie sich nun als legitimes Windows-Update ausgibt und Nutzer dazu verleitet, Schadcode in das Ausführen-Fenster einzufügen. Besonders raffiniert an diesem Angriff ist, dass er Pixeldaten aus einer PNG-Datei nutzt, um Schadcode auszulösen, der Benutzernamen, Passwörter, Krypto-Wallets, Bankdaten und andere sensible Informationen stiehlt.

Forscher von Huntress haben kürzlich eine neue Variante von ClickFix entdeckt. Diese Malware öffnet ein gefälschtes Vollbild-Browserfenster, das ein Windows-Update imitiert, inklusive eines Fortschrittsbalkens, der bei 95 Prozent für ein angeblich „kritisches Sicherheitsupdate“ hängen bleibt. Die Schadsoftware findet sich am häufigsten auf gefälschten Erwachsenenwebseiten, die beliebte Portale imitieren, oft in Form von Werbung oder Altersverifizierungsaufforderungen. Ein Klick auf ein solches Element öffnet das gefälschte Update-Fenster.

Die Benutzer werden dann aufgefordert, Windows + R zu drücken, den Schadcode einzufügen und den Cyberangreifern unwissentlich Administratorrechte zu gewähren. Der Befehl startet das Programm mshta (Microsoft HTML Application Host) mit einer schädlichen URL, welches zusätzlichen Code aus dem Hexadezimalquellcode herunterlädt. Anschließend werden PowerShell-Skripte ausgeführt, die Sicherheitsprogramme wie Bitdefender verwirren und die PNG-Datei entschlüsseln. Aus dieser werden Shell-Befehle extrahiert und in bereits laufende Prozesse eingeschleust.

Obwohl PNG-Dateien harmlos erscheinen, enthalten ihre Pixel verschlüsselten Schadcode. Nach der Entschlüsselung werden Infostealer wie Rhadamanthys oder LummaC2 aktiviert, die Passwörter, Zugangsdaten und Krypto-Wallet-Daten sammeln und an fremde Server senden.

Huntress berichtet, dass sich diese Variante seit Anfang Oktober verbreitet und viele Domains weiterhin das gefälschte Update-Fenster anzeigen. Die Hacker verschleiern den Code zusätzlich mit zufälligen Zeilen oder sogar seltsamen Zitaten, unter anderem aus einer UN-Abrüstungskonferenz.

ClickFix zählt zu den raffiniertesten Schadprogrammen, die jemals Daten gestohlen haben. Experten raten Nutzern, Domain-URLs zu überprüfen, verdächtige Werbung zu meiden und niemals unbekannte Befehle auf ihren Geräten einzugeben.