Thought Leadership
Angreifer nutzen ClickFix-Social-Engineering und gefälschte Updates, um neue Malware-Loader wie BabaDeda, Lorem Ipsum und Potemkin auf Systeme zu bringen.
Sicherheitsforscher haben neue Kampagnen dokumentiert, die die ClickFix-Methode nutzen, um schädliche Software auf Windows-Systemen zu installieren. Dabei werden Nutzer durch gefälschte Fehlermeldungen oder Sicherheitswarnungen im Browser dazu verleitet, PowerShell-Befehle manuell auszuführen. Diese Befehle laden anschließend sogenannte Loader nach, die als erste Stufe für die eigentliche Schadsoftware dienen. Aktuell wurden drei verschiedene Loader identifiziert: BabaDeda, Lorem Ipsum und Potemkin. Diese Module sind darauf ausgelegt, Sicherheitsmechanismen zu umgehen und den Payload erst kurz vor der Ausführung zu entschlüsseln, was die forensische Analyse und Erkennung durch Sicherheitstools erschwert.
BabaDeda Loader für gezielte Datenspionage
Der BabaDeda Loader wurde bereits in früheren Kampagnen gegen Krypto- und Web3-Sektoren eingesetzt und zielt nun verstärkt auf Bildungs- und Finanzorganisationen. Zur Vermeidung einer Entdeckung prüft die Schadsoftware das infizierte System und verweigert die Ausführung auf Rechnern in Russland oder Belarus. Nach der Initialisierung injiziert der Loader seine Schadfunktionen in legitime Windows-Prozesse wie svchost.exe. Die dabei verbreiteten Backdoors und Infostealer sind in der Lage, Browserdaten, Cookies und Zugangsdaten zu entwenden, Screenshots zu erstellen und Dateien exfiltriert an einen Steuerungsserver zu übermitteln. Ein Morphisec-Forscher erklärte zur Funktionsweise des überarbeiteten Frameworks:
„Dieses neue Framework behält das gleiche Code-Genom bei, erweitert es jedoch zu einem weitaus leistungsfähigeren Loader, der auf Tarnung, Ausweichen und Flexibilität bei der Nutzlast ausgelegt ist.“
Morphisec-Forscher
Lorem Ipsum Loader und WordPress-Infektionen
Ein weiterer Akteur, der als Vanilla Tempest bekannt ist, nutzt gehackte WordPress-Webseiten, um den Lorem Ipsum Loader zu verteilen. Die Angreifer leiten Nutzer via ClickFix-Lures um, die sich als Sicherheitsupdates für den Browser Microsoft Edge tarnen. Nach der Infektion wird eine veraltete Version von Node.js genutzt, um JavaScript-basierte Dropper auszuführen, die den eigentlichen Backdoor nachladen.
Diese Kette führt oft zur Bereitstellung von Ransomware wie Rhysida. Die Verlagerung auf WordPress-Seiten als Ausgangspunkt wird von BlueVoyant-Forschern wie folgt eingeordnet: „Der Wechsel zu ClickFix-Lures, die auf kompromittierten WordPress-Seiten gehostet werden, erweitert den potenziellen Opferkreis erheblich und demonstriert die Bereitschaft der Betreiber, ihre Techniken für den anfänglichen Zugriff schnell anzupassen.“
Potemkin Loader als Brücke für EtherRAT
Die dritte beobachtete Kampagne verwendet das MSI-Paketformat, um den Potemkin Loader mittels einer HTA-Datei (HTML Application) einzuschleusen. Der Loader nutzt einen Domain-Generierungs-Algorithmus zur Kommunikation mit seinen Steuerungsservern. Er fungiert als primärer Conduit für die Schadprogramme EtherRAT und RMMProject.
Letzteres ermöglicht den Angreifern eine Fernsteuerung des Bildschirms, das Auslesen von Browser-Daten unter Umgehung von Verschlüsselungsschutzmechanismen und die Ausführung beliebiger Lua-Skripte. Nach erfolgreichem Zugriff auf das System gehen die Angreifer manuell vor, um Microsoft Defender-Ausschlüsse zu konfigurieren, tunnelierten Zugriff über Cloudflare einzurichten und sich innerhalb des Netzwerks bis zum Domain-Controller auszubreiten.
(red)
