Australische Behörde warnt vor ClickFix-Angriffen mit Vidar Stealer

Zusammenfassung

Das Australian Cyber Security Center (ACSC), Teil des Australian Signals Directorate, warnt vor einer laufenden Schadsoftware-Kampagne, die mit der Social-Engineering-Methode ClickFix die Informationen stehlende Malware Vidar Stealer verbreitet. Im Visier stehen laut der Behörde australische Organisationen und Infrastruktureinrichtungen. Die Angreifer nutzen dabei kompromittierte WordPress-Websites, die Besucher auf schädliche Inhalte umleiten. Auf diesen Seiten erscheint eine gefälschte Cloudflare-Verifizierung oder ein vorgetäuschter CAPTCHA-Dialog, der Nutzer auffordert, einen bösartigen PowerShell-Befehl zu kopieren und manuell auf ihrem System auszuführen. Das Resultat ist eine Infektion mit Vidar Stealer. ClickFix bringt Anwender gezielt dazu, schädliche Befehle selbst auszuführen, in der Regel über gefälschte CAPTCHA- oder Browser-Verifizierungsabfragen auf manipulierten oder eigens präparierten Websites. Typischerweise werden so PowerShell-Befehle untergeschoben, um Sicherheitsmechanismen zu umgehen und Malware – meist Info-Stealer – nachzuladen. Die ACSC erklärte, sie habe ClickFix-bezogene Aktivitäten beobachtet, die auf WordPress gehostete Infrastruktur zur Verbreitung von Vidar Stealer ausnutzen. Die Behörde stellt in ihrem Sicherheitsbulletin auch Kompromittierungsindikatoren (IoCs) bereit, mit denen Organisationen Schutzmaßnahmen einrichten oder Eindringversuche erkennen können.

Bei Vidar Stealer handelt es sich um eine Familie von Informationsdieben, die zugleich als Malware-as-a-Service (MaaS) betrieben wird und Ende 2018 erstmals auftauchte. Die Schadsoftware entwickelte sich nach und nach zu einer beliebten Wahl unter Cyberkriminellen – wegen ihres günstigen Preises, der einfachen Handhabung und ihrer breiten Fähigkeiten zum Datendiebstahl.

Vidar zielt auf im Browser gespeicherte Passwörter, Cookies, Kryptowährungs-Wallets, Autofill-Daten und Systeminformationen. Die Malware tauchte bereits in früheren ClickFix-Angriffen auf und wurde unter anderem über angebliche Windows-Fixes, TikTok-Videos und GitHub beworben. Im vergangenen Jahr veröffentlichte der Entwickler eine neue Version mit erweiterten Funktionen.

Laut ACSC löscht Vidar nach dem Start auf dem infizierten Gerät seine eigene ausführbare Datei und arbeitet anschließend aus dem Arbeitsspeicher heraus, wodurch forensische Spuren reduziert werden. Die Adresse seines Command-and-Control-Servers (C2) bezieht die Malware über sogenannte „Dead-Drop"-URLs, die auf öffentliche Dienste wie Telegram-Bots und Steam-Profile zurückgreifen – eine Technik, die in der Vergangenheit häufig eingesetzt wurde und weiterhin wirksam ist.

Zur Absicherung empfiehlt die ACSC Organisationen, die Ausführung von PowerShell einzuschränken und eine Freigabeliste für zugelassene Anwendungen (Application Allow-Listing) umzusetzen, um das Risiko solcher Angriffe zu verringern.

Betreibern von WordPress-Websites rät die Behörde, verfügbare Sicherheitsupdates für Themes und Erweiterungen einzuspielen sowie nicht genutzte Themes und Plugins von ihren Plattformen zu entfernen.

Australische Behörde warnt vor ClickFix-Angriffen mit Vidar Stealer

Ähnliche Artikel

Neueste Artikel