Nach Beobachtung von Microsoft setzt der ausgeführte Befehl eine Infektionskette in Gang: Von einem externen Server wird ein ZIP-Archiv heruntergeladen, das ein schädliches Python-Skript entpackt. Dieses legt schließlich ein Visual-Basic-Script ab, das ModeloRAT ausführt – einen Python-basierten Trojaner, der Angreifern unmittelbaren Zugriff auf das befallene System gibt.
Der Befehl nslookup ist eigentlich dafür gedacht, Netzwerkprobleme zu beheben, die DNS-Konfiguration zu prüfen oder auffällige Domains zu untersuchen – nicht, um Programme herunterzuladen oder auszuführen. Das hält Malwarebytes Labs in einer nachfolgenden Analyse fest. Die Hintermänner von ClickFix hätten offenbar erkannt, dass die zuvor genutzten mshta- und PowerShell-Befehle “zunehmend von Sicherheitssoftware blockiert” würden, schreibt Malwarebytes-Forscher Pieter Arntz.
“Nslookup ist ein eingebautes Werkzeug, um das ‘Telefonbuch’ des Internets zu nutzen, und die Kriminellen missbrauchen dieses Telefonbuch im Grunde, um Anweisungen und Schadsoftware einzuschleusen, anstatt nur eine Adresse abzufragen”, so Arntz.
Abgesehen von diesem Unterschied folgen die Angriffe zu Beginn demselben Muster: Den Opfern werden gefälschte CAPTCHA-Anweisungen vorgesetzt, mit denen sie beweisen sollen, dass sie kein Bot sind. Das vermittelt ein trügerisches Gefühl von Sicherheit. Anschließend setzen die Angreifer auf Täuschung – etwa indem sie vorgeben, ein nicht existierendes Computerproblem müsse gelöst oder ein Update installiert werden, indem sie Browserabstürze auslösen oder sogar Anleitungsvideos liefern. Ziel ist stets, die Opfer dazu zu bringen, einen schädlichen Befehl einzufügen und so ihren eigenen Rechner zu infizieren.
Während frühere Angriffe Infostealer auslieferten oder – im Fall des Missbrauchs von ClickFix durch nordkoreanische APT-Gruppen – Backdoors zum Ausspähen der Opfer, steht diesmal die Übernahme des Geräts im Vordergrund. ClickFix-Angriffe wurden laut dem Bericht erstmals vor etwa zwei Jahren von Forschern bei Proofpoint entdeckt.
Malwarebytes Labs gibt Nutzern konkrete Ratschläge zum Schutz. Bei Anweisungen auf einer Webseite, vor allem wenn man Befehle ausführen oder Code kopieren und einfügen soll, solle man sich Zeit lassen. Arntz warnt, dass manche Angriffe mit Zeitgebern oder Countdowns arbeiten: “Angreifer setzen auf Zeitdruck, um Ihr kritisches Denken auszuhebeln, seien Sie also vorsichtig bei Seiten, die zu sofortigem Handeln drängen.”
Befehle oder Skripte aus nicht vertrauenswürdigen Quellen wie Webseiten, E-Mails oder Nachrichten sollten grundsätzlich nicht ausgeführt werden, sofern man die Quelle nicht kenne und den Zweck der Aktion nicht verstehe. Es helfe, Anweisungen unabhängig über offizielle Dokumentation oder den Kundendienst zu prüfen. Zudem lasse sich eine Infektion verhindern, wenn man Befehle manuell eintippt, statt sie zu kopieren und einzufügen – so verringert sich das Risiko, in kopiertem Text versteckte Schadbefehle unbemerkt auszuführen.
