Die Hackergruppe Velvet Tempest setzt bei Ransomware-Angriffen auf die ClickFix-Methode und legitime Windows-Tools ein, um DonutLoader und das CastleRAT-Backdoor zu installieren. Sicherheitsforscher beobachteten die Attacken über 12 Tage in einer Testumgebung.
Die als Velvet Tempest bekannte Ransomware-Gruppe setzt gezielt auf die ClickFix-Technik und legitime Windows-Dienstprogramme, um das DonutLoader-Malware und das CastleRAT-Backdoor in Netzwerken einzuschleusen. Das Cyber-Intelligence-Unternehmen MalBeacon dokumentierte die Aktivitäten der Angreifer über zwölf Tage hinweg in einer simulierten Unternehmensumgebung.
Velvet Tempest, auch unter der Bezeichnung DEV-0504 bekannt, ist seit mindestens fünf Jahren als Ransomware-Affiliate tätig. Die Gruppe wird mit der Verbreitung einiger der verheerendsten Ransomware-Varianten in Verbindung gebracht, darunter Ryuk, REvil, Conti, BlackMatter, BlackCat/ALPHV, LockBit und RansomHub.
Die beobachtete Attacke fand zwischen dem 3. und 16. Februar in einer Replika-Umgebung einer US-amerikanischen Non-Profit-Organisation mit über 3.000 Endpunkten und mehr als 2.500 Nutzern statt. Nach dem Eindringen führten die Velvet-Tempest-Operatoren manuelle Aufklärungsarbeiten durch, einschließlich Active-Directory-Reconnaissance und Netzwerk-Profiling. Besonders bemerkenswert war der Einsatz eines PowerShell-Skripts zur Plünderung von Anmeldedaten aus dem Chrome-Browser.
Den Anfangszugang verschafften sich die Angreifer durch eine Malvertising-Kampagne, die Nutzer auf gefälschte ClickFix- und CAPTCHA-Seiten führte. Dort sollten Opfer einen verschleiert codierten Befehl in die Windows-Ausführungsdialog einfügen. Dieser Befehl startete verschachtelte cmd.exe-Prozesse und nutzte das Programm finger.exe, um die ersten Malware-Loader herunterzuladen.
In den nachfolgenden Angriffsphase setzten die Täter PowerShell ein, um weitere Payloads zu laden und .NET-Komponenten über csc.exe zu kompilieren. Python-basierte Module wurden zur Persistenz in C:\ProgramData installiert. Letztendlich deployten sie DonutLoader und das CastleRAT-Backdoor – einen Remote-Access-Trojaner, der mit dem CastleLoader assoziiert wird und üblicherweise verschiedene RATs und Informations-Stealer wie LummaStealer verbreitet.
Termite-Ransomware hat bereits prominente Opfer wie den SaaS-Anbieter Blue Yonder und den australischen Fertilitätsklinik-Konzern Genea heimgesucht. Interessanterweise setzte Velvet Tempest in dem beobachteten Fall die Ransomware nicht ein – obwohl die Gruppe typischerweise Double-Extortion-Attacken durchführt, bei denen Daten gestohlen und Systeme verschlüsselt werden.
Die ClickFix-Methode wird mittlerweile von mehreren Ransomware-Akteuren eingesetzt. Sekoia berichtete im April 2025, dass auch die Interlock-Ransomware-Gang diese Social-Engineering-Taktik für Unternehmensbreaches nutzt.
Quelle: BleepingComputer