IT-Sicherheitsforscher warnen vor neuer Angriffstechnik über die Zwischenablage

Sicherheitsforscher von Proofpoint haben eine zunehmend beliebte Angriffstechnik identifiziert, bei der Cyberkriminelle auf Social Engineering setzen. Die bringen damit Opfer dazu, bösartigen PowerShell-Code auszuführen und Malware zu installieren.

Die Methode wurde erstmals Anfang März 2024 vom Initial Access Broker "TA571" eingesetzt, die Zugänge zu Firmennetzen verkaufen. Seitdem wurden sie auch bei ClearFake beobachtet, berichtet Proofpoint. ClearFake ist ein bösartiges JavaScript-Framework, das auf kompromittierten Websites eingesetzt wird, um mittels Drive-by-Download-Technik weitere Malware zu verbreiten. Dabei erhalten die Opfer eine Fehlermeldung, die vorgibt, von einer vertrauenswürdigen Quelle wie dem Betriebssystem zu stammen. Sie suggeriert ein Problem und liefert gleichzeitig eine Lösung in Form eines PowerShell-Befehls, den das Opfer nur noch kopieren und ausführen muss.

Gefälschte Aufforderungen

Die erste dieser Fehlermeldungen war als ein Dialog des Chrome-Webbrowsers getarnt. Sie enthielt Anweisungen, dass das Opfer auf eine Schaltfläche klicken soll, um ein PowerShell-Skript zu kopieren. Außerdem waren Anweisungen zum manuellen Ausführen des Skripts als Administrator enthalten, um das Problem zu beheben. Wurden die Anweisungen befolgt, führte der Nutzer das PowerShell-Skript lediglich durch Einfügen in das PowerShell-Befehlszeilenfenster aus, ohne weiteres Zutun.

Folgt das Opfer den Anweisungen, können verschiedene Schadprogramme wie die Malware-Loader Darkgate, Matanbuchus, das auch von Kriminellen mißbrauchte Fernwartungstool NetSupport oder Infostealer installiert werden. Proofpoint stuft die Gefahr als ernst ein, da solche Bedrohungen schwer zu erkennen sind. Zudem haben Antiviren-Software und "Endpoint Detection and Response"-Programme Probleme, Inhalte der Zwischenablage zu überprüfen. Werden in Unternehmen verdächtige Aktivitäten bemerkt, sollten diese umgehend der IT-Security gemeldet werden.

(mack)