Aktuell beobachtet das BACS eine Zunahme von Meldungen zu der Infektionsmethode «ClickFix». Dabei werden Nutzer:innen durch vorgetäuschte technische Probleme dazu verleitet, schädlichen Code selbstständig in die Kommandozeile ihres Computers einzufügen und auszuführen. Die Masche umgeht geschickt technische Sicherheitsmassnahmen, da die Opfer die Infektion ihres Systems faktisch selbst autorisieren.
Hinter dem Begriff «ClickFix» verbirgt sich eine raffinierte Social-Engineering-Taktik. Der Name «ClickFix» beschreibt eine eine schnelle Lösung für ein technisches Problem («Fix»), dass durch einen einfachen Klick («Click») angeboten wird. Die Angreifer manipulieren legitime, aber schlecht gesicherte Webseiten oder schalten Werbeanzeigen, die auf präparierte Seiten führen. Sobald eine Person die Seite besucht, erscheint ein täuschend echt aussehendes Overlay-Fenster oder ein Pop-Up-Fenster.
Laut den Angaben in diesem Fenster liegt ein technisches Problem vor – etwa ein fehlgeschlagenes Browser-Update, ein DNS-Fehler, ein Problem beim Darstellen der Inhalte oder am häufigsten, dass ein angebliches CAPTCHA zu lösen sei. Um das Problem zu beheben, wird dem Nutzer eine Schaltfläche eingeblendet.
Vom Browser in die Kommandozeile
Nutzerinnen und Nutzer ahnen dabei nicht, dass das Öffnen der Webseite bereits einen bösartigen «PowerShell»-Befehl (für Windows) oder einen «Terminal»-Befehl (für macOS) in die Zwischenablage kopiert hat. Das Opfer wird dann angewiesen, unscheinbare Tastenkombinationen zu tätigen. Diese Tastenkombinationen haben es aber in sich. Auf diese Weise wird die Konsole geöffnet und der zuvor in die Zwischenablage kopierte Code eingefügt. Durch das Drücken der Enter-Taste wird der Befehl dann auch gleich ausgeführt und Schadcode geladen.
Schadenspotential von ClickFix
Sobald der Befehl ausgeführt wird, versucht das Skript, eine Verbindung mit einem Server aufzubauen und ein bösartiges Programm herunterzuladen. Während der direkte Download einer Schadsoftware durch Antivirenprogramme oft blockiert wird, stammt der Befehl für den Download nun direkt vom Benutzer im Kontext seiner eigenen Berechtigungen, so dass viele Sicherheitsmechanismen nicht Alarm schlagen. Dabei wird meist ein sogenannter «Infostealer» nachgeladen. Diese Schadsoftware ist darauf spezialisiert, Passwörter aus Browsern auszulesen, Krypto-Wallets zu leeren oder Sitzungs-Cookies aus den Internet-Browsern zu stehlen, mit denen sich Angreifer ohne Passwort in Konten (z. B. E-Mail oder Firmensysteme) einloggen können. In Firmennetzwerken kann dies zudem der erste Schritt für eine spätere Ransomware-Attacke sein.
Erweiterte Methode: «CrashFix»
Seit Anfang des Jahres haben sich zusätzliche Vorgehensweisen etabliert. Eine dieser Methoden ist unter dem Namen «CrashFix» bekannt. Dabei werden manipulierte Browser-Erweiterungen verbreitet, die als nützliche Tools wie zum Beispiel Werbeblocker getarnt sind. Diese Erweiterungen sind so programmiert, dass sie mit einer Zeitverzögerung absichtlich einen Browserabsturz verursachen. Nach dem Neustart des Browsers erscheint eine Meldung, die den Nutzer dazu auffordert, den angeblichen Fehler durch die Eingabe bestimmter Befehle zu «reparieren». In Wahrheit ermöglichen diese Befehle ebenfalls die Installation von Schadsoftware.
Empfehlungen
Seien Sie misstrauisch, wenn auf Webseiten behauptet wird, Ihr Browser müsse aktualisiert werden oder ein Fehler könne nur durch das Ausführen von Befehlen behoben werden. Offizielle Browser-Updates laufen über die internen Einstellungen des Browsers ab, nie über eine Webseite.
Kopieren Sie niemals Code oder Befehle aus unbekannten Quellen direkt in die «PowerShell», das «Terminal» oder die Eingabeaufforderung.
Installieren Sie keine Programme aus unbekannten Quellen.
Informieren Sie Mitarbeitende über diese spezifische Masche. Das Bewusstsein, dass eine Webseite niemals dazu auffordern würde, manuell Befehle im System einzugeben, ist der beste Schutz.
In Unternehmensumgebungen sollte geprüft werden, ob die Ausführung von «PowerShell»-Skripten für normale Benutzer eingeschränkt werden kann.
Sollten Sie Opfer einer solchen Attacke geworden sein, melden Sie den Vorfall.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter: Aktuelle Zahlen
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmässigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmässigen Zweck der Speicherung von Voreinstellungen erforderlich, die nicht vom Abonnenten oder Nutzer beantragt wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschliesslich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
