Malware im Anmarsch: Hacker tricksen Windows-Nutzer mit Fake-Bluescreens aus
Sicherheitsforscher von Securonix warnen vor einer laufenden Malware-Kampagne, bei der die Angreifer ihre Opfer durch gefälschte Bluescreens dazu verleiten, bösartige Befehle auszuführen. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) haben es die Angreifer primär auf europäische Anbieter von Reiseunterkünften abgesehen. Ziel der Kampagne ist es, auf den Systemen der Opfer eine Hintertür einzurichten.
Der Angriff beginnt den Angaben zufolge mit einer Phishing-Mail, die scheinbar von Booking.com stammt und auf eine Stornierungsanfrage für eine Hotelzimmerbuchung im Wert von über 1.000 Euro hinweist. Wer auf den Link in der Mail klickt, landet auf einer gefälschten und unter der Domain low-house.com gehosteten Booking.com-Seite.
Anstelle der erwarteten Reservierungsdetails erscheint dort eine Fehlermeldung, laut der das Laden der Seite zu lange dauert. Die Meldung bietet als mögliche Problemlösung auch einen Refresh-Button an. Ein Klick darauf aktualisiert jedoch nicht die Seite, sondern hat einen gefälschten Bluescreen zur Folge, der im Vollbild erscheint und dadurch gerade für unerfahrene Anwender authentisch erscheinen kann.
Anwender führen Schadcode selber aus
An dieser Stelle kommt eine Social-Engineering-Technik namens Clickfix zum Einsatz. Anwender sehen auf dem Bluescreen nicht nur einen Fehlercode, sondern auch konkrete Handlungsanweisungen, mit denen sich das Problem beheben lassen soll. Diese bestehen darin, über Tastenkombinationen das Ausführen-Fenster zu öffnen, den in der Zwischenablage gespeicherten Befehl einzufügen und schließlich die Ausführung zu bestätigen.
Auf diesem Wege werden wichtige Sicherheitsmechanismen zur Blockierung einer automatischen Skriptausführung umgangen. Die Zwischenablage wurde zuvor von der Phishingseite mit einem Powershell-Befehl befüllt, der den Nutzer zur Ablenkung auf das echte Booking.com-Adminportal umleitet und im Hintergrund eine Infektionskette in Gang setzt, um das System mit Malware zu verseuchen.
Wer sich für technische Details zu der Infektionskette interessiert, findet diese im Blogbeitrag von Securonix. Dort wird etwa erläutert, wie die Angreifer ihre Rechte ausweiten, der Erkennung ihrer Malware entgehen und in dem anvisierten Windows-System integrierte Tools missbrauchen, um ihren Angriff zum Erfolg zu führen und sich einen persistenten Fernzugriff einzurichten.
Gegen Clickfix hilft vor allem Schulung
Da Cyberkriminelle in letzter Zeit(öffnet im neuen Fenster) immer häufiger(öffnet im neuen Fenster) auf Clickfix zurückgreifen(öffnet im neuen Fenster) , scheint die Angriffstechnik durchaus effektiv zu sein. Technisch versierte Anwender erkennen die Täuschung zwar meist schnell, doch es gibt auch viele andere Windows-Nutzer, die dazu nicht in der Lage sind.
Die Forscher empfehlen Unternehmen vor diesem Hintergrund, ihre Mitarbeiter auf die Gefahren und die Funktionsweise dieser Technik hinzuweisen. Dabei ist es wichtig, hervorzuheben, dass ein echter Windows-Bluescreen Anwender niemals dazu auffordert, manuell einen Befehl auszuführen oder eine Reihe von Tastenkombinationen zu betätigen.
Administratoren finden in dem Securonix-Bericht(öffnet im neuen Fenster) einige nützliche Informationen, die auf technischer Ebene dabei helfen können, die beobachteten Angriffe frühzeitig zu erkennen und zu vereiteln. Die Forscher fanden Hinweise darauf, dass hinter der Kampagne russische Akteure stecken. Installiert wird wohl ein Trojaner namens DCRat, einem Abkömmling des quelloffenen Asyncrat .