Cyberkriminelle haben ClickFix-Attacken weiterentwickelt und verwenden nun den nslookup-Befehl statt PowerShell, um Nutzer zur eigenständigen Installation von ModeloRAT — einem Python-basierten Remote-Access-Trojaner — zu verleiten.
Die ClickFix-Angriffskampagne entwickelt sich kontinuierlich weiter. Jetzt setzen Angreifer auf eine neue Umgehungstaktik: Sie missbrauchen den nslookup-Befehl, um Sicherheitsvorkehrungen zu überwinden und Nutzer dazu zu bewegen, ihre eigenen Geräte zu infizieren.
Microsoft hat diese Veränderung als erste dokumentiert. Das Unternehmen beobachtet die ClickFix-Kampagnen seit 2024 und meldete kürzlich auf X einen “weiteren Umgehungsansatz”. Statt PowerShell oder mshta greifen Angreifer nun zum nslookup-Befehl — einem Standard-Tool zur DNS-Abfrage. Zielnutzer werden aufgefordert, einen Befehl auszuführen, der eine benutzerdefinierte DNS-Abfrage durchführt und die Antwort parst, um die nächste Malware-Komponente herunterzuladen.
Dieser Ansatz bietet erhebliche Vorteile für Kriminelle: DNS-Traffic verschmilzt mit normalem Netzwerkverkehr und fällt weniger auf. Auch in Unternehmensumgebungen funktionieren die Angriffe, weshalb auch Corporate-User betroffen sind.
Bei den von Microsoft dokumentierten Fällen startet der Befehl eine Infektionskette: Ein ZIP-Archiv wird heruntergeladen, das ein bösartiges Python-Skript enthält. Dieses lädt wiederum ein Visual-Basic-Skript nach, das schließlich ModeloRAT ausführt — einen Python-basierten RAT, der Angreifern vollständige Kontrolle über das Windows-System ermöglicht.
Malwarebytes-Sicherheitsexperte Pieter Arntz erklärte die Strategiewechsel pragmatisch: Die bisherigen mshta- und PowerShell-Befehle werden “zunehmend von Sicherheitssoftware blockiert”. nslookup hingegen ist ein legitimes Administratoren-Tool. Arntz vergleicht es humorvoll mit dem Missbrauch eines “Internet-Telefonbuchs” — Kriminelle nutzen das System, um versteckt Anweisungen und Malware einzuschleusen, statt nur Adressen abzurufen.
Die Angriffsmethodik bleibt am Anfang identisch: Fake-CAPTCHA-Aufforderungen erzeugen ein falsches Sicherheitsgefühl. Danach nutzen Angreifer Täuschung — erfundene Computerschäden, notwendige Updates, Browser-Crashes oder sogar Anleitungsvideos — um Nutzer zur Eingabe des bösartigen Befehls zu bewegen. Das Resultat: Infostealers, Backdoors oder eben ModeloRAT landen auf dem System.
Die Evolution der ClickFix-Attacken, die Proofpoint vor etwa zwei Jahren erstmals entdeckte, zeigt ein besorgniserregendes Muster. Kriminelle finden ständig neue Wege, vertrauenswürdige Systemwerkzeuge zu missbrauchen.
Zum Schutz empfiehlt Malwarebytes Labs: Zunächst sollten Nutzer Bedacht walten lassen bei Web-Anweisungen, die Befehle oder Code-Eingaben fordern — besonders wenn Zeitdruck aufgebaut wird. “Angreifer nutzen Dringlichkeit, um kritisches Denken zu umgehen”, warnt Arntz. Zudem sollten Commands und Skripte nur aus vertrauenswürdigen Quellen ausgeführt werden. Im Zweifelsfall hilft eine Verifizierung über offizielle Dokumentation oder Support.
Ein praktischer Tipp: Wer das Kopieren und Einfügen von Befehlen minimiert und diese manuell eingibt, reduziert das Infektionsrisiko erheblich — versteckte bösartige Payloads in kopierten Texten funktionieren dann nicht.
Quelle: Dark Reading