In letzter Zeit gaben Microsoft Security-Forscher den Alarm über eine Social Engineering-Kampagne, die einen legitimen Teil des Windows-Ökosystems nutzt, um die Opfer zu schädlichen Code zu induzieren. Anstatt Leute zu bitten, die Run-Box zu öffnen und einen Befehl zu kleben - eine Taktik, die bereits von vielen Erkennungslösungen bekannt und überwacht wird - Angreifer führen Benutzer, um die Anwendung direkt starten Windows Terminal, die den Betrieb technisch und in den Augen des Benutzers legitimer aussehen lässt. Sie können die ursprüngliche Erklärung des Microsoft-Teams in seinem öffentlichen Thread auf X lesen Hier. und eine allgemeine Beschreibung der Anmeldung an ihrem Referenzeintrag in Wikipedia.
Die Falle beginnt auf Webseiten, die Verifikationsprozesse simulieren - falsche CAPTCHA, Fehlerbehebungsanweisungen oder Verifikationsformulare - und die den Besucher bitten, einen scheinbar harmlosen Textblock zu kopieren. Dieser Text ist kein direkter Befehl, sondern eine codierte Kette: Hexe, die auch komprimiert wurde und einer XOR-Operation unterzogen wurde, um ihren Zweck zu verbergen. Wenn der Benutzer diese Kette in einer Windows-Terminal-Sitzung trifft und sie ausführt, öffnet der Flow neue Befehls-Interpreter und PowerShell-Sitzungen, bis ein Prozess, der das ursprüngliche Skript dekodiert und dekomprimiert, endlich aufgerufen wird.
Das Ergebnis dieser Decodierung ist das Herunterladen von Artefakten, die eine mehrstufige ZIP-Datei des Angriffs und eine legitime Kopie von 7-Zip umfassen, umbenannt und auf Festplatte mit einem zufälligen Namen gespeichert. Beim Laufen entfernt dieses Dienstprogramm die ZIP und löst eine Kette von Aktionen, die in der Maschine bestehen bleiben, deaktivieren Sie die Steuerungen und Exfilter-Daten. Die Gegner erhalten Programmaufgaben, um ihre Präsenz zu gewährleisten, Ausschlüsse zu Microsoft Defender hinzufügen und schließlich einen Anmeldeinformationen Extraktor, genannt Lumma Stealer.
Eine der technisch relevanten Techniken ist die Verwendung von QueueUserAPC, einer Windows-API, mit der Sie Code in Prozesse injizieren können, die bereits in Betrieb sind. In diesem Fall wird der Stealer in Browser-Prozesse wie Chrom injiziert. exe und msedge. exe, um lokale Datenbanken zu lesen, in denen Passwörter und andere wertvolle Artefakte in der Regel gespeichert werden. Wenn Sie die technische Erklärung dieses API-Aufrufs überprüfen möchten, wird die offizielle Microsoft-Dokumentation die Funktion QueueUserAPC ().
Die Forscher beobachteten auch einen alternativen Weg: statt einer decodierten Kette, die auslöst PowerShell, der komprimierte Befehl kann das Herunterladen eines zufälligen Namens Batch-Skripts verursachen, das sich in AppData befindet und wiederum eine VBScript-Datei im Temp Ordner erzeugt. Dieses Los wird mit speziellen Parametern ausgeführt und wird durch MSBuild.exe wiederveröffentlicht, eine legitime binäre, die viele Administratoren verwenden, um zu kompilieren . NET-Projekte. Abhilfe von Systemwerkzeugen - die sogenannten HOLBins oder "Living-off-the-land binaries" - erleichtert die Vermeidung von Kontrollen, weil die bösartige Software nach zuverlässigen Ausführbaren getarnt wird; MITRE sammelt diese Art von Techniken in seinem ATT & CK-Framework, beispielsweise auf MSBuild-bezogenen Routen Hier..
Ein weiteres interessantes Detail, dass Microsoft berichtet, ist die offensichtliche Verbindung mit Blockchain-Diensten: Ein Teil des Skripts kommuniziert mit den RPC-Block-Kettenendpunkten, was auf eine "Ätherhiding"-Technik hindeutet, um Traffic zu vermischen oder Ihre Exfiltrationskommunikation zu tarnen. Während all dies geschieht, setzt Malware mit der Hauptaufgabe fort: Browser-Daten - Web-Daten und Login-Daten - zu sammeln und an Server, die von Angreifern kontrolliert werden.
Jenseits der konkreten Technik ist die störende Sache an dieser Kampagne die Kombination von Social Engineering und legitimem Softwaremissbrauch. Die Angreifer verlassen sich auf die Wahrnehmung der Zuverlässigkeit, die ein modernes Werkzeug wie Windows Terminal hat und im Komfort der vorgeschlagenen Tastenkombination (Windows + X → I), um das Opfer zu überzeugen, dass das, was er tut, eine Routine und sichere Sache ist.
Für Benutzer und Sicherheitsbeamte gibt es mehrere praktische Auswirkungen. Die erste ist zu erinnern, dass keine zuverlässige Website Sie jemals bitten, willkürliche Befehle auf Ihrer Maschine als Verifikationsmethode auszuführen. Wenn eine Website auffordert, Anweisungen an ein Terminal zu halten, ist es ein starker Risikoindikator. Es ist angebracht, die Seite zu schließen und offizielle Kanäle mit dem Dienst zu überprüfen, der angeblich die Aktion fordert. Darüber hinaus sollten Organisationen ihre Ausschlüsse und Umsetzungspolitiken überprüfen, um sicherzustellen, dass die Angreifer nicht davon profitieren können. Microsoft veröffentlicht Anleitungen zur Verwaltung von Ausschlüssen in Defender, die für Administratoren nützlich sein können: Defender's Exclusions Guide.
Es wird auch empfohlen, ergänzende technische Kontrollen anzuwenden: Filter- oder Block-Downloads von verdächtigen Seiten, beschränken Sie die Ausführung von renommierten Binaries an temporären Standorten, überwachen Sie die Erstellung von ungewöhnlichen geplanten Aufgaben und überwachen Prozesse, die Code in Browser injizieren. Behavior-basierte Erkennungen, zusammen mit der Segmentierung von Genehmigungen (vermeiden Sie die Verwendung von Konten mit unnötigen Privilegien), verringern die Angriffsfläche. Die amerikanische Initiative Stop.Think.Connect. von CISA bietet für allgemeine Beratung zur Erkennung und Vermeidung von Phishing und anderen ähnlichen Betrug nützliche Ressourcen: Empfehlungen für Phishing-Erkennung.
Wenn Sie vermuten, dass eine Maschine durch diese Kampagne beeinträchtigt wurde, ist es angebracht, sie aus dem Netzwerk zu isolieren, Informationen für forensische Analyse (PowerShell-Aufzeichnungen, Erstellung / Ausführungsereignisse und Prozessketten) zu sammeln und einen Scan mit aktualisierten Tools bereitzustellen. Die Anwesenheit von namhaften legitimen Aussetzern, neuen geplanten Aufgaben oder kürzlichen Ausschlüssen in Antivirenlösungen sind Zeichen, die sofortige Forschung verdienen.
Kurz gesagt, die Kampagne "ClickFix" zeigt eine klassische Lektion, die noch vorhanden ist: legitime Technologie kann gefährlich werden, wenn Menschen manipuliert werden, um sie zu ihrem eigenen Nachteil zu verwenden. Benutzerüberwachung, umsichtige Sicherheitskonfiguration und Verwaltungstool-Nutzung Richtlinien sind die erste Linie der Verteidigung gegen Bedrohungen, die Social Engineering und fortgeschrittene Infektionstechniken kombinieren.
Um technische Details und spezifische Antwortempfehlungen zu vertiefen, können Sie die Freigabe des Microsoft Intelligence Teams auf X Hier., Dokumentation über die API zur Injektion QueueUserAPC () und die offizielle Seite von 7-Zip, wenn Sie die Integrität der legitimen Kopien dieses Unterdrückers überprüfen müssen auf Ihrer Website.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...