ClickFix-Kampagnen werden immer raffinierter und zielen verstärkt auf WordPress-Webseiten.Cyberkriminelle kombinieren kompromittierte Websites mit immer raffinierteren Social-Engineering-Köder-Methoden, um neue Infostealer-Malware zu verbreiten. Bekannt ist das Ganze unter dem Namen ClickFix und zudem effektiv: In einer einzigen Kampagne wurden über 250 WordPress-Websites in zwölf Ländern infiziert.Während diese Kampagne zu unauffälligen, im Arbeitsspeicher ausgeführten Schadprogrammen führt, beobachtete Microsoft parallel dazu einen weiteren Angriff, der Windows Terminal zum Ausführen der Schadsoftware anstelle des herkömmlichen Ausführen-Dialogs nutzt.Die WordPress-Kampagne ist seit Dezember 2025 aktiv und konfrontiert Besucher mit gefälschten Cloudflare-CAPTCHA-Abfragen, wie Forscher des Sicherheitsunternehmens Rapid7 berichten. Zu den kompromittierten WordPress-Websites gehören regionale Nachrichtenportale, Websites lokaler Unternehmen und sogar die offizielle Website eines US-Senatskandidaten.’Der großflächig durchgeführte Angriff auf völlig unabhängige WordPress-Instanzen weist auf einen hohen Automatisierungsgrad seitens der Angreifer hin und ist wahrscheinlich Teil einer organisierten, langfristigen kriminellen Handlung”, heißt es in dem Bericht. Technisch gesehen, verschickt die WordPress-ClickFix-Kampagne drei separate Infostealer-Payloads zwei davon bisher unbekannt und nutzt eine Domain-Infrastruktur, die offenbar seit Juli 2025 existiert.Die Angreifer tarnen ihren eingeschleusten JavaScript-Code als Leistungsoptimierung, die nur dann aktiv wird, wenn der Browser des Besuchers keinen WordPress-Admin-Cookie besitzt. Auf diese Weise soll die Malware vor den Website-Administratoren verborgen werden.Das Skript ruft dann eine gefälschte Cloudflare-CAPTCHA-Abfrage von einer von 14 Angreifer-kontrollierten Domains ab, die alle auf dieselbe IP-Adresse verweisen. Die gefälschte CAPTCHA-Abfrage fordert Besucher dann auf, einen Befehl zu kopieren und in das Windows-Ausführen-Dialogfeld einzufügen.
Digitaler Gift-Donut: Der schädliche Befehl besteht aus verschleiertem JavaScript- und PowerShell-Code, der den sogenannten DoubleDonut Loader im Arbeitsspeicher startet. Dieser Loader schleust Schadcode direkt in legitime Windows-Prozesse ein.’Die Malware-Kette wird fast ausschließlich im Arbeitsspeicher und im Kontext unauffälliger Windows-Prozesse ausgeführt, was die herkömmliche dateibasierte Erkennung wirkungslos macht”, erläutern die Experten von Rapid7.Da die kompromittierten Websites unterschiedliche WordPress-Versionen oder -Plugins nutzen, gehen die Forscher davon aus, dass die Angreifer möglicherweise schwache Zugangsdaten ausnutzen oder Exploits für mehrere Sicherheitslücken kombinieren.
Vidar-Stealer-Variante verwendet: Der DoubleDonut Loader wurde dabei beobachtet, wie er eine neue Variante des bekannten Infostealers Vidar Stealer verbreitete. Dieser nutzt eine sogenannte Dead-Drop-Resolver-Technik, um seine Command-and-Control-Konfiguration und die dynamische API-Auflösung zu ermitteln.Zusätzlich entdeckten die Forscher zwei bisher undokumentierte Infostealer, von denen einer in .NET und einer in C++ geschrieben ist. Die von Rapid7 Impure Stealer und VodkaStealer genannten Programme verwenden beide spezielle Techniken, um nicht entdeckt zu werden. Dazu zählen eine ungewöhnliche Datenkodierung, symmetrische Verschlüsselung der Kommunikation oder Sandbox-Erkennung mithilfe system- und zeitbasierter Prüfungen.
Köder-Evolution: Auch die ClickFix-Taktiken entwickeln sich weiter. So identifizierte das Threat Intelligence Team von Microsoft eine Kampagne, bei der der klassische Ausführen-Dialog (Win+R) durch die Windows Terminal-App (Win+X) ersetzt wurde, um Befehle auszuführen.Dabei wurden unter anderem der bekannte Lumma Stealer und die Fernwartungssoftware NetSupport RAT verbreitet. Eine weitere Angriffskette nutzte VBScript über MSBuild sowie eine Technik namens Etherhiding, um Code zum Sammeln von Anmeldeinformationen herunterzuladen.
Beliebt bei staatlichen und privaten Kriminellen: Das Sicherheitsunternehmen ESET schätzt, dass die ClickFix-Angriffe im letzten Jahr um 517 Prozent zugenommen haben. Die dabei verwendeten Varianten CrashFix, ConsentFix und PhantomCaptcha sollen dabei mit unterschiedlichen Ködern und Zustellungsmechanismen arbeiten.Diese grundlegende Social-Engineering-Taktik hat sich als so effektiv erwiesen, dass sie sogar von staatlichen Gruppen wie der nordkoreanischen Lazarus-Gruppe, der iranischen MuddyWater-Gruppe und der russischen APT28 angewendet wird. Bereits im Januar berichteten Forscher von Sekoia, dass ein weiteres ClickFix-Framework namens IClickFix seit 2024 in über 3.800 WordPress-Websites eingeschleust wurde.
Handlungsempfehlungen: Betreiber von WordPress-Websites sollten sicherstellen, dass ihre Admin-Login-Bereiche nicht öffentlich zugänglich sind. Laut Rapid7 war dies bei fast allen Websites nicht der Fall.Zudem hat das Sicherheitsunternehmen Indikatoren für Kompromittierungen und YARA-Erkennungsregeln in seinem öffentlichen GitHub-Repository veröffentlicht. (tf)
Köder-Evolution: Auch die ClickFix-Taktiken entwickeln sich weiter. So identifizierte das Threat Intelligence Team von Microsoft eine Kampagne, bei der der klassische Ausführen-Dialog (Win+R) durch die Windows Terminal-App (Win+X) ersetzt wurde, um Befehle auszuführen.Dabei wurden unter anderem der bekannte Lumma Stealer und die Fernwartungssoftware NetSupport RAT verbreitet. Eine weitere Angriffskette nutzte VBScript über MSBuild sowie eine Technik namens Etherhiding, um Code zum Sammeln von Anmeldeinformationen herunterzuladen.
Beliebt bei staatlichen und privaten Kriminellen: Das Sicherheitsunternehmen ESET schätzt, dass die ClickFix-Angriffe im letzten Jahr um 517 Prozent zugenommen haben. Die dabei verwendeten Varianten CrashFix, ConsentFix und PhantomCaptcha sollen dabei mit unterschiedlichen Ködern und Zustellungsmechanismen arbeiten.Diese grundlegende Social-Engineering-Taktik hat sich als so effektiv erwiesen, dass sie sogar von staatlichen Gruppen wie der nordkoreanischen Lazarus-Gruppe, der iranischen MuddyWater-Gruppe und der russischen APT28 angewendet wird. Bereits im Januar berichteten Forscher von Sekoia, dass ein weiteres ClickFix-Framework namens IClickFix seit 2024 in über 3.800 WordPress-Websites eingeschleust wurde.
Handlungsempfehlungen: Betreiber von WordPress-Websites sollten sicherstellen, dass ihre Admin-Login-Bereiche nicht öffentlich zugänglich sind. Laut Rapid7 war dies bei fast allen Websites nicht der Fall.Zudem hat das Sicherheitsunternehmen Indikatoren für Kompromittierungen und YARA-Erkennungsregeln in seinem öffentlichen GitHub-Repository veröffentlicht. (tf)
Handlungsempfehlungen: Betreiber von WordPress-Websites sollten sicherstellen, dass ihre Admin-Login-Bereiche nicht öffentlich zugänglich sind. Laut Rapid7 war dies bei fast allen Websites nicht der Fall.Zudem hat das Sicherheitsunternehmen Indikatoren für Kompromittierungen und YARA-Erkennungsregeln in seinem öffentlichen GitHub-Repository veröffentlicht. (tf)
First seen on csoonline.com
Jump to article: www.csoonline.com/article/4146782/clickfix-treibt-neue-infostealer-kampagnen-an.html
