![]()
Zusammenfassung
-
Gefälschte Windows-Updates oder Captchas im Vollbildmodus verleiten Benutzer dazu, Angreiferbefehle einzufügen und auszuführen.
-
Malware wird steganographisch in PNG-Pixeln gespeichert; Ein.NET Stego Loader extrahiert, entschlüsselt und führt es im Speicher aus.
-
Zwischenablage-Trick bringt Opfer dazu, Befehle einzufügen; Der Loader lädt das Bild herunter und führt 10.000 leere Funktionen aus, um einer Analyse zu entgehen.
Social-Engineering-Angriffe gehören wahrscheinlich immer noch zu den am häufigsten verwendeten Methoden, um einen Computer tatsächlich zu infizieren oder die Daten einer Person zu stehlen. Ein gut ausgeführter Social-Engineering-Angriff kann ziemlich schlimme Folgen haben. Zur Abrundung ist hier sogar ein gefälschter Windows Update-Bildschirm enthalten.
Cybersicherheitsforscher haben eine raffinierte Entwicklung bei „ClickFix“-Social-Engineering-Angriffen aufgedeckt, bei denen Bedrohungsakteure jetzt realistische gefälschte Windows Update-Animationen mit fortschrittlichen Social-Engineering-Techniken kombinieren, um Systeme zu kompromittieren. Falls Sie nicht wissen, was ein ClickFix-Angriff ist: Sein Ziel besteht darin, den Benutzer dazu zu verleiten, eine Aktion auszuführen, die bei automatischer Ausführung durch Sicherheitssoftware normalerweise blockiert wird.
Bei diesen neuen Varianten stoßen Opfer auf Browserseiten im Vollbildmodus, die ein kritisches Windows-Sicherheitsupdate oder ein Captcha zur „menschlichen Überprüfung“ imitieren. Auf der Seite wird der Benutzer aufgefordert, eine bestimmte Tastenfolge zu drücken, um einen Fehler zu beheben oder seine Identität zu überprüfen. Unbemerkt vom Benutzer hat das auf der bösartigen Website ausgeführte JavaScript bereits einen bösartigen Befehl in die Zwischenablage kopiert. Wenn der Benutzer den Tastendruckanweisungen folgt (häufig das Einfügen in das Windows-Ausführungsfeld oder die Eingabeaufforderung), führt er versehentlich den Code des Angreifers aus.
Eigentlich ist es ziemlich schlau, und deshalb ist es beängstigend. Das Besondere an dieser spezifischen Kampagne ist der Einsatz von Steganographie, um die Schadsoftware-Payload zu verbergen. Anstatt eine erkennbare Schaddatei herunterzuladen, verstecken die Angreifer den Code in den Pixeldaten von PNG-Bildern. Forscher von Huntress erklärten, dass der Schadcode direkt in bestimmten Farbkanälen des Bildes kodiert sei. Für einen zufälligen Beobachter oder einen einfachen Sicherheitsscan scheint die Datei ein harmloses Bild zu sein. Die Angriffskette umfasst jedoch eine .NET-Assembly namens „Stego Loader“. Dieser Loader ist für das Parsen des Bildes, das Extrahieren der verschlüsselten Nutzlast aus den Pixeln und die Entschlüsselung im Speicher verantwortlich.
Dies funktioniert dadurch, dass Sie eine Website besuchen, auf der ein gefälschter Vollbildfehler angezeigt wird, z. B. ein hängengebliebenes Windows Update oder eine Überprüfung, ob Sie ein Mensch sind. Hintergrundskripte auf der Website kopieren heimlich Schadcode in die Zwischenablage Ihres Computers. Auf dem Bildschirm werden Sie aufgefordert, die Windows-Eingabeaufforderung „Ausführen“ zu öffnen und den Text einzufügen, um das Problem zu „beheben“. Sobald Sie die Eingabetaste drücken, lädt der Befehl eine scheinbar harmlose Bilddatei herunter, die tatsächlich die Malware enthält, die dann vom Stego Loader entschlüsselt wird. Die Einstiegspunktfunktion initiiert Aufrufe von 10.000 leeren Funktionen, um Analysetools zu erschöpfen oder zu verwirren, bevor die eigentliche Nutzlast ausgeführt wird.
Sie oder ich würden wahrscheinlich nicht Opfer davon werden. Aber denken Sie an eine ältere Person, die sich dadurch täuschen lässt – vielleicht indem sie online auf den falschen Link klickt. Eine Katastrophe, die darauf wartet, passiert zu werden. Um dies zu verhindern, können Sie das Ausführen-Feld auf dem PC Ihres Großvaters deaktivieren, aber viel mehr können Sie nicht tun.
Quelle: Bleeping Computer
*️⃣ Quelllink: