Social-Engineering-Angriff ClickFix: Eine wachsende Bedrohung für Unternehmen

MÜNCHEN (IT BOLTWISE) – Die Bedrohung durch Social-Engineering-Angriffe nimmt weltweit zu, und eine neue Kampagne namens ClickFix stellt eine erhebliche Gefahr für Unternehmen dar. Diese Angriffe nutzen geschickt manipulierte Pop-up-Meldungen, um Benutzer dazu zu verleiten, schädliche Befehle auf ihren Systemen auszuführen.

Die zunehmende Bedrohung durch Social-Engineering-Angriffe hat in den letzten Jahren erheblich zugenommen, und die neueste Kampagne, die unter dem Namen ClickFix bekannt ist, stellt eine ernsthafte Gefahr für Unternehmen weltweit dar. Diese Angriffe nutzen täuschend echte Pop-up-Meldungen, um Benutzer dazu zu bringen, schädliche Befehle auf ihren Systemen auszuführen. Besonders besorgniserregend ist die Tatsache, dass sowohl kriminelle Gruppen als auch staatliche Akteure diese Methode anwenden, um ihre Ziele zu erreichen.

ClickFix ist ein raffinierter Social-Engineering-Trick, bei dem die Angreifer Benutzer so manipulieren, dass sie Schadsoftware selbst auf ihren Systemen installieren. Der Angriff beginnt oft mit einer Phishing-Mail, einer manipulierten Google-Anzeige oder einer infizierten legitimen Website. Sobald das Opfer auf eine präparierte Website gelangt, wird ein Pop-up angezeigt, das wie eine echte Sicherheits- oder Systemmeldung aussieht. Diese Meldungen fordern das Opfer auf, eine Schaltfläche anzuklicken, was dazu führt, dass ein vorbereiteter PowerShell-Befehl in die Zwischenablage des Nutzers kopiert wird.

Die Opfer werden dann angewiesen, das Ausführen-Fenster mit der Tastenkombination Win + R zu öffnen und den kopierten Befehl einzufügen. In dem Glauben, im Sinne der Sicherheit zu handeln, infizieren sie so ihre eigenen Rechner. Der ausgeführte Befehl lädt Schadcode wie Lumma Stealer, QuasarRAT, DarkGate oder NetSupport RAT von einem entfernten Server herunter. Diese Programme sind darauf ausgelegt, Passwörter und Zugangsdaten zu stehlen, Systeme fernzusteuern oder weitere Angriffe vorzubereiten.

Die ClickFix-Angriffe sind besonders effektiv, da sie viele Sicherheitsmaßnahmen wie Antivirenprogramme oder E-Mail-Gateways umgehen und oft lange unentdeckt bleiben. Die hohe Erfolgsquote macht diese Methode für Angreifer besonders attraktiv. Laut einer Analyse von Sophos X-Ops waren im März insbesondere kleinere Unternehmen aus dem Gesundheits- und Dienstleistungssektor betroffen. Zu den angegriffenen Organisationen zählten Kliniken, Arztpraxen und Autohäuser mit einem Fokus auf CRM- und Kalenderfunktionen.

Einige der Angriffe haben auch eine geopolitische Motivation. So setzen bestimmte Gruppen ClickFix in ihren Cyber-Spionage-Kampagnen ein, um gezielt Organisationen und Einzelpersonen auszuspionieren. Die nordkoreanische Gruppe TA427 nutzte ClickFix, um Mitarbeiter von Think Tanks zu kompromittieren, während die iranische Gruppe TA450 gefälschte Microsoft-Sicherheitsupdates zur Installation von Remote Monitoring & Management (RMM)-Tools einsetzte. Russische Gruppen wie UNK_RemoteRogue und TA422 verbreiteten infizierte Office-Dokumente bzw. präparierte Google Sheets, um Daten zu entwenden.

Um sich vor ClickFix zu schützen, empfehlen Sicherheitsexperten eine Kombination aus technischen und Awareness-Maßnahmen. Dazu gehören PowerShell-Einschränkungen durch den Einsatz von AppLocker, Windows Defender Application Control (WDAC) oder Gruppenrichtlinien, um die Nutzung von PowerShell einzuschränken oder zu protokollieren. Zudem bieten einige Sicherheitslösungen die Möglichkeit, das Verhalten rund um die Zwischenablage zu analysieren, um ungewöhnliche Muster wie das Kopieren von PowerShell-Befehlen durch JavaScript zu erkennen und zu blockieren.

Regelmäßige Awareness-Schulungen zur Erkennung und Abwehr von Phishing und Social Engineering sind ebenfalls entscheidend, um die Mitarbeiter für die Gefahren solcher Angriffe zu sensibilisieren. Unternehmen sollten proaktiv handeln und ihre Sicherheitsstrategien kontinuierlich anpassen, um der sich ständig weiterentwickelnden Bedrohungslandschaft einen Schritt voraus zu sein.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!