Cyberkriminelle haben die ber\u00fcchtigte ClickFix-Malware aktualisiert, sodass sie sich nun als legitimes Windows-Update ausgibt und Nutzer dazu verleitet, Schadcode in das Ausf\u00fchren-Fenster einzuf\u00fcgen. Besonders raffiniert an diesem Angriff ist, dass er Pixeldaten aus einer PNG-Datei nutzt, um Schadcode auszul\u00f6sen, der Benutzernamen, Passw\u00f6rter, Krypto-Wallets, Bankdaten und andere sensible Informationen stiehlt.
Forscher von Huntress haben k\u00fcrzlich eine neue Variante von ClickFix entdeckt. Diese Malware \u00f6ffnet ein gef\u00e4lschtes Vollbild-Browserfenster, das ein Windows-Update imitiert, inklusive eines Fortschrittsbalkens, der bei 95 Prozent f\u00fcr ein angeblich \u201ekritisches Sicherheitsupdate\u201c h\u00e4ngen bleibt. Die Schadsoftware findet sich am h\u00e4ufigsten auf gef\u00e4lschten Erwachsenenwebseiten, die beliebte Portale imitieren, oft in Form von Werbung oder Altersverifizierungsaufforderungen. Ein Klick auf ein solches Element \u00f6ffnet das gef\u00e4lschte Update-Fenster.
Die Benutzer werden dann aufgefordert, Windows + R zu dr\u00fccken, den Schadcode einzuf\u00fcgen und den Cyberangreifern unwissentlich Administratorrechte zu gew\u00e4hren. Der Befehl startet das Programm mshta (Microsoft HTML Application Host) mit einer sch\u00e4dlichen URL, welches zus\u00e4tzlichen Code aus dem Hexadezimalquellcode herunterl\u00e4dt. Anschlie\u00dfend werden PowerShell-Skripte ausgef\u00fchrt, die Sicherheitsprogramme wie Bitdefender verwirren und die PNG-Datei entschl\u00fcsseln. Aus dieser werden Shell-Befehle extrahiert und in bereits laufende Prozesse eingeschleust.
Obwohl PNG-Dateien harmlos erscheinen, enthalten ihre Pixel verschl\u00fcsselten Schadcode. Nach der Entschl\u00fcsselung werden Infostealer wie Rhadamanthys oder LummaC2 aktiviert, die Passw\u00f6rter, Zugangsdaten und Krypto-Wallet-Daten sammeln und an fremde Server senden.
Huntress berichtet, dass sich diese Variante seit Anfang Oktober verbreitet und viele Domains weiterhin das gef\u00e4lschte Update-Fenster anzeigen. Die Hacker verschleiern den Code zus\u00e4tzlich mit zuf\u00e4lligen Zeilen oder sogar seltsamen Zitaten, unter anderem aus einer UN-Abr\u00fcstungskonferenz.
ClickFix z\u00e4hlt zu den raffiniertesten Schadprogrammen, die jemals Daten gestohlen haben. Experten raten Nutzern, Domain-URLs zu \u00fcberpr\u00fcfen, verd\u00e4chtige Werbung zu meiden und niemals unbekannte Befehle auf ihren Ger\u00e4ten einzugeben.<\/p>\n