Staatlich unterstützte Hackergruppen übernehmen zunehmend neue Social-Engineering-Techniken, die ursprünglich von kommerziell motovierten Cyberkriminellen entwickelt wurden. So wird ClickFix inzwischen verstärkt auch von nordkoreanischen, iranischen und russischen Gruppen in Spionagekampagnen eingesetzt.
Die Methode Clickfix nutzt gefälschte Fehlermeldungen oder vermeintliche Sicherheitswarnungen, um ahnungslose Nutzer dazu zu bringen, bösartige PowerShell-Befehle manuell in ihr System einzugeben. Diese direkte Interaktion der Nutzer trägt dazu bei, dass die Kriminellen herkömmliche Schutzmechanismen wie automatische Malware-Scans überwinden.
Clickfix in Cyberangriffe integriert
Zum Jahreswechsel beobachteten Forscher von Proofpoint erstmals, wie Gruppen aus Nordkorea (TA427), Iran (TA450) und Russland (UNK_RemoteRogue & TA422) diese Technik erfolgreich in ihre Cyberangriffe integrierten. Sie nutzten dabei gefälschte Webseiten oder E-Mails, die die Nutzer dazu aufforderten, schädliche Skripte auszuführen. So gelang es beispielsweise der nordkoreanischen Gruppe TA427, Mitarbeiter von Think Tanks zu täuschen und die Remote-Access-Malware QuasarRAT zu installieren. Die iranische Gruppe TA450 nutzte ClickFix, um über gefälschte Microsoft-Sicherheitsupdates Remote Monitoring und Management (RMM)-Software zu installieren, mit der sie vollen Zugriff auf die Systeme ihrer Ziele erhielt.
Dieser Technik bedienten sich auch russische Gruppen: So verbreitete UNK_RemoteRogue infizierte Word-Dokumente über kompromittierte Server, während TA422 mit gefälschten Google-Tabellen potenzielle Opfer auf präparierte Seiten lockte und in der Folge Metasploit und SSH-Tunnel zur Datenexfiltration nutzte.
ClickFix statt Makros und Co
In diesen Fällen ersetzt ClickFix die traditionellen Phasen der klassischen Infektionsketten, wie die automatische Ausführung von Makros, durch eine direkte Interaktion mit dem Opfer. Aufgrund der Art der Täuschung und der aktiven Mitwirkung des Opfers sticht diese Methode aus der Vielzahl von Angriffstaktiken hervor. Die rasche Übernahme dieser Methode durch staatlich unterstützte Akteure zeigt, dass sich diese Technik noch in der Experimentierphase befindet. Proofpoint geht davon aus, dass ClickFix in Zukunft noch häufiger in Spionagekampagnen zu beobachten sein wird, weil die Technik schwieriger zu erkennen und vielseitiger einsetzbar ist als andere Vorgehensweisen.
Mehr bei proofpoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.