Cybersecurity-Forscher haben eine Kette von Angriffen, die eine alte Bekanntschaft von Web-Täuschung - ClickFix-Typ falsche CAPTCHAs - mit einem weniger erwarteten Manöver: den Missbrauch eines Microsoft-signed-Skript gehört zu App-V zu verbergen bösartige Ausführung. Das Ergebnis ist eine militärisch durchdachte Sequenz, die zum Download einer Informationen stehlen genannt Amatera, und das stellt ernste Herausforderungen für traditionelle Verteidigung.
Das Schlüsselstück, das ein Hebel in dieser Kampagne ist, ist kein verdächtiges ausführbar, sondern ein legitimer Bestandteil des Systems. Anstatt PowerShell direkt zu rufen, führen Angreifer das Opfer dazu, einen Befehl auszuführen, der startet SyncAppvPublishingServer.vbs ein signiertes Skript, das mit der Virtualisierung von Microsoft-Anwendungen (App-V) verbunden ist. Durch die Abhängigkeit von einem Werkzeug des Vertrauens wird die Bedrohung unter dem Dach der legitimen und komplizierte Erkennung durch Lösungen, die den Ruf der Prozesse priorisieren. Um zu verstehen, was App-V ist und warum es wichtig ist, hält Microsoft die offizielle Dokumentation, in der es diese Technologie erklärt: App-V in Microsoft-Dokumentation.
Der initiale Vektor ist der bereits bekannte falsche CAPTCHA-Trick: der Benutzer landet auf einer Seite, die erscheint, um eine Überprüfung zu verlangen und erhält Anweisungen, in der Regel in einem Video oder Dialog, um einen Befehl in der Run Windows Box zu kopieren und einzufügen. Das Neue an dieser Kampagne ist, dass der Befehl PowerShell nicht direkt anruft, sondern diese ausnutzt. SyncAppvPublishingServer.vbs einen Ladegerät im Speicher über wscript.exe freigeben, der als signierter Proxy dient, der die nachfolgende Ausführung "sicher" macht. Diese Technik der Verwendung von legitimen System binaries to run bösartigen Code ist, was die Community nennt leben-off-the-land; MITRE ATT & CK Framework dokumentiert diese Art von Missbrauch, einschließlich der Variante, die SyncAppvPublishingServer.vbs verwendet: MITRE ATT & CK - Missbrauch von SyncAppvPublishingServer.vbs.
Dass der Vektor auf App-V basiert, ist kein kleines Detail: Diese Technologie ist nur in den Enterprise- und Education-Editionen von Windows 10 / 11 und in modernen Versionen von Windows Server vorhanden. In Heim- oder Pro-Systemen, in denen App-V nicht existiert oder nicht aktiviert ist, ist die Kette gebrochen, was darauf hindeutet, dass Angreifer ihre Bemühungen auf Unternehmens- und Management-Umgebungen konzentriert haben.
Sobald der Ladegerät ausgeführt wurde, führen die Autoren Kontrollen durch, um Sandkästen und automatische Analyseumgebungen zu vermeiden, und laden Sie dann ihre Konfiguration aus einer unerwarteten Ressource herunter: eine öffentliche Kalenderdatei, die im Google Kalender gehostet wird. Durch die Auslagerung von Kontrollparametern in einem legitimen und öffentlichen Dienst kann der Angreifer die Infrastruktur drehen und Koordinaten ändern, ohne die vorherigen Stufen des Angriffs neu zu schreiben. Diese Verwendung von Kalendern als Konfigurations-Repositories ist ein Beispiel dafür, wie die Industrie a tod-drop lösen eine Methode, die auch in den von MITRE aufgeführten Techniken enthalten ist: Dead Drop Resolver (T1102.001).
Der Kalender weist dann auf zusätzliche Lasten hin: ein Zwischen-PowerShell-Skript, das im Speicher ausgeführt ein PNG-Bild von CDN-Diensten wie jsDelivr oder Domänen, die als Fassade wirken, erholt. In diesem Bild wird die nächste Nutzlast in PowerShell versteckt, verschlüsselt und komprimiert. Im Speicher werden Dekompression und Entschlüsselung durchgeführt, und schließlich wird der Code, der einen Shellcode lädt, der für die Bereitstellung von Amatera entwickelt wurde, aufgerufen. Diese Funktionsweise, wo alles im Speicher passiert und ohne verdächtige binäre auf der Festplatte zu verlassen, erschwert die Fähigkeit, Beweise durch traditionelle Erkennung zu analysieren und zu erfassen.
Weit davon entfernt, ein isolierter Trick zu sein, passt diese Kette in eine breitere Evolution der ClickFix Kampagnen. In den letzten Monaten haben Varianten mit Namen wie JackFix oder CrashFix proliferiert, und Panels und Services haben herausgefunden, dass die Technik als Produkt vermarkten: Betreiber verkaufen ClickFix-Kits in Foren für erhebliche Mengen, so dass Schauspieler mit weniger technischen Fähigkeiten erfolgreich Kampagnen starten. Parallel dazu sind Distributionsplattformen speziell für diese Art von Täuschung entwickelt, wie ErrTraffic, die einen GlitchFix-Ansatz für visuell korrupte Seiten einführt und den Benutzer davon überzeugen, dass "fix" das Problem erfordert, einen Befehl auszuführen.
Sicherheitsfirmenforscher haben diese Entwicklungen dokumentiert. Blackpoint beschreibt die Kette, die in Amata gipfelt und die präzise Orchestrierung zwischen Bühnen hervorhebt; der technische Eintrag ist auf seinem Blog verfügbar: Blackpoint - falsche CAPTCHA Kette, die liefert Amatera. Andere Analysen, die ClickFix-Kampagnen verfolgt haben, die auf Social-Media-Inhalte-Ersteller ausgerichtet sind, mit falschem Prozess der Überprüfung und Sitzung Tokens Diebstahl, wurden von Hunt.io und von Antwortteams in Unternehmen wie Palo Alto (Unit42): Unit42 - Bedrohungen gegen Schöpfer.
Ein wiederkehrendes Feature dieser Kampagnen ist ihre Präferenz für seriöse Dienste und Plattformen: CDNs, öffentliche Kalender und Smart Blockchains Verträge wurden als Verteilerrohre oder Codespeicher verwendet. Dieser Ansatz ermöglicht Angreifern, das Vertrauen der legitimen Dienste "erben", einen Trend, den Censys genannt hat "Living Off the Web" und das beschreibt, wie zuverlässige Infrastruktur wird Malware-Lieferfläche: Censys - Leben aus dem Web.
Fälle wie ClearFake exemplifizieren die kombinierte Verwendung von ClickFix mit anderen kreativen Techniken: die Kampagne infizierte WordPress-Websites, injizierte Browser-Update-Köder und verwendet Smart-Kontrakte in Binance Smart Chain, um das folgende JavaScript-Fragment zu verstecken - eine Technik, die von Analysten wie EtherHering genannt wird. Expels Konto von ClearFake bietet eine Diagnose der Raffinesse und des Umfangs dieser Operationen: Expel - ClearFake und LotL Techniken.
Welche praktischen Schlussfolgerungen ziehen wir daraus? Zunächst reicht die herkömmliche Verteidigung, die nur auf dem Blockieren von verdächtigen Ausführbaren auf der Festplatte basiert, nicht aus: Angreifer nutzen signierte Prozesse und im Speicher, die Erkennungssysteme zur Bewertung von Verhalten und Kontext in größerer Tiefe zwingen. Zweitens bleibt der menschliche Faktor der am meisten ausgenutzte Link: jeder Dialog, der Befehle kopieren / einfügen oder Token verschieben möchte, muss als Verdächtiger aktiviert und außerhalb des normalen Browserflusses überprüft werden.
Für Organisationen sind die Empfehlungen, die Privilegkontrollen zu verschärfen, die Nutzung optionaler Komponenten wie App-V zu begrenzen und zu überwachen, soweit sie nicht erforderlich sind, und die Regeln der EDR anzupassen, um ungewöhnliche Invokationen auf legitime Skripte zu überwachen. Es ist auch angebracht, besonders sensible Nutzer - Content-Autor, Marketing-Teams und Site-Manager - über die Risiken der Annahme von "Verifications" zu erziehen, die lokale Befehle ausführen möchten. Bitdefender und andere Lieferanten haben Analysen und Anleitungen zum Verständnis und zur Minderung von ClickFix veröffentlicht; eine Zusammenfassung der Nachrichten ist auf dem Bitdefender Business Insights Portal verfügbar: Bitdefender - wie ClickFix funktioniert.
Kurz gesagt, die Kampagne, die zu Amatera führt, bringt keine revolutionäre technische Erfindung, sondern eine sehr sorgfältige Kombination von bekannten Techniken: Betrug, gerichtet auf Benutzer, Ausnutzung von signierten System-Tools, dynamische Konfiguration in öffentlichen Diensten und Ausführung im Gedächtnis. Diese Orchestrierung macht den Angriff nur dann voran, wenn alles passt, was es sowohl für die automatisierte Detonation in Analyseumgebungen als auch für die schnelle Reaktion in der realen Detektion erschwert. Warnung zu bleiben und Verteidigungssysteme anzupassen, um Muster von Missbräuchen des Vertrauens zu erkennen, wird der Schlüssel sein, um die Auswirkungen solcher Bedrohungen zu reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...