MalwareHackerangriffePhishing

ClickFix-Attacken verbreiten Vidar Stealer: Australische Behörden warnen vor Social-Engineering-Kampagne

Von CyberDeutsch Redaktion
ClickFix-Attacken verbreiten Vidar Stealer: Australische Behörden warnen vor Social-Engineering-Kampagne
Zusammenfassung

Die australische Cybersecurity-Behörde warnt vor einer wachsenden Bedrohung: Cyberkriminelle nutzen die ClickFix-Technik, um die Vidar-Stealer-Malware zu verbreiten. Bei dieser Angriffsmethode werden Nutzer durch gefälschte CAPTCHA- oder Verifizierungsprompte auf manipulierten Websites getäuscht und dazu verleitet, schädliche PowerShell-Befehle auszuführen. Die Kampagne zielt derzeit auf australische Organisationen ab, nutzt gehackte WordPress-Websites als Verteilungskanal und infiziert Systeme mit Vidar Stealer, einer professionellen Informations-Diebstahl-Malware. Das Schadprogramm wurde bereits 2018 entwickelt und hat sich wegen seiner Effektivität und einfachen Handhabbarkeit zu einer beliebten Waffe in der Cyberkriminellen-Szene entwickelt. Es stiehlt Browser-Passwörter, Cookies, Kryptowallet-Daten und Systemdetails, wobei es sich geschickt vor Ermittlungen verbirgt, indem es sich von der Festplatte löscht und nur im Speicher operiert. Obwohl die Anschläge aktuell auf Australien konzentriert sind, zeigt das Angriffskonzept eine globale Ausbreitungstendenz. Deutsche Nutzer und Unternehmen sollten wachsam sein, da solche Social-Engineering-Kampagnen international schnell adaptiert werden. Besondere Vorsicht ist bei verdächtigen Browser-Meldungen geboten.

Vidar Stealer ist eine Information-Stealing-Malware, die seit Ende 2018 in Umlauf ist und sich mittlerweile als beliebtes Malware-as-a-Service-Angebot etabliert hat. Die Schadsoftware zeichnet sich durch ihre Kosteneffizienz und breite Datendiebstahl-Fähigkeiten aus. Sie zielt auf Browser-Passwörter, Cookies, Kryptowährungs-Wallets, Autofill-Informationen und Systemdetails ab.

Die aktuelle Kampagne funktioniert nach einem ausgefeilten Schema: Benutzer werden auf gehackte WordPress-Websites weitergeleitet, wo ihnen eine gefälschte Cloudflare-Verifizierungs- oder CAPTCHA-Aufforderung angezeigt wird. Diese Prompts instruieren die Nutzer, einen bösartigen PowerShell-Befehl zu kopieren und manuell auf ihrem System auszuführen – was letztlich zur Vidar Stealer-Infektion führt. Damit wird eine grundlegende Sicherheitshürde umgangen: Der Benutzer selbst führt den Infektionscode aus, ohne dies zu bemerken.

Eine besonders perfide Eigenschaft von Vidar Stealer ist sein “Selbstschutz”: Die Malware löscht ihre ausführbare Datei nach dem Start und operiert dann vollständig aus dem Arbeitsspeicher. Dies reduziert forensische Spuren erheblich und macht eine Nachverfolgung schwieriger. Zur Kommunikation mit Angreifern nutzt die Malware “Dead-Drop”-URLs über öffentliche Dienste wie Telegram-Bots und Steam-Profile – eine altbekannte, aber nach wie vor effektive Technik.

Die ACSC empfiehlt Organisationen, die PowerShell-Ausführung zu beschränken und Application-Whitelisting zu implementieren. Für WordPress-Administratoren sind regelmäßige Sicherheitsupdates für Themes und Add-ons essentiell, ebenso wie das Entfernen ungenutzter Plugins.

Deutsche Sicherheitsverantwortliche sollten ähnliche Maßnahmen priorisieren. Das BSI hat bereits ähnliche Malware-Kampagnen dokumentiert. Unternehmen sollten ihre Mitarbeiter sensibilisieren, keine verdächtigen PowerShell-Befehle auszuführen, und Endpoint-Protection-Lösungen aktualisieren. Die ACSC hat Indikatoren für Kompromittierungen (IoCs) veröffentlicht, die als Basis für Detektionssysteme dienen können.

Ähnliche Artikel