Sicherheitsforscher haben eine neue ClickFix-Kampagne aufgedeckt, die kompromittierte Websites missbraucht, um den bislang unbekannten Remote Access Trojan MIMICRAT (AstarionRAT) zu verbreiten. Die Angreifer setzen dabei ausgefeilte Multi-Stage-Angriffe ein und tarnen den Schädling als legitimen Webverkehr.
Cybersecurity-Experten haben Anfang dieser Woche Details zu einer neuen ClickFix-Kampagne veröffentlicht, die gehackte Websites als Sprungbretter für den Einsatz eines neuen Remote Access Trojaners namens MIMICRAT (auch als AstarionRAT bekannt) nutzt.
Wie Elastic Security Labs berichtet, zeichnet sich die Kampagne durch hohe operative Raffinesse aus: Mehrere kompromittierte Websites verschiedener Branchen und Regionen dienen als Infrastruktur, eine mehrstufige PowerShell-Kette umgeht Sicherheitsmechanismen wie ETW und AMSI, bevor ein Lua-basiertes Shellcode-Loader geladen wird. Die finale Malware kommuniziert verschlüsselt über HTTPS auf Port 443 und tarnt ihren Datenverkehr als legitime Web-Analytics-Traffic.
Der Custom-RAT MIMICRAT wurde in C++ programmiert und verfügt über Windows-Token-Impersonation, SOCKS5-Tunneling sowie 22 Befehle für umfangreiche Post-Exploitation-Aktivitäten. Das Sicherheitsunternehmen stellt zudem Parallelen zu einer ähnlichen ClickFix-Kampagne fest, die von Huntress dokumentiert wurde und zum Matanbuchus 3.0 Loader führt — derselbe RAT, letztlich mit dem Ziel Ransomware-Einsatz oder Datendiebstahl.
In der von Elastic analysierten Infektionskette beginnt der Angriff bei bincheck[.]io, einem legitimen BIN-Validierungsdienst, der gehackt wurde. Böser JavaScript-Code lädt ein externes PHP-Script, das die ClickFix-Täuschung mit einer gefälschten Cloudflare-Seite präsentiert. Das Opfer wird aufgefordert, einen Befehl in das Windows-Ausführen-Dialog einzugeben.
Dies triggert einen PowerShell-Befehl, der sich mit einem Command-and-Control-Server verbindet und ein zweites PowerShell-Script herunterlädt. Dieses deaktiviert Windows Event Logging (ETW) und Antivirus-Scanning (AMSI), lädt dann ein Lua-basiertes Shellcode-Loader-Tool. Das Lua-Script entschlüsselt abschließend den Speicher-Shellcode und führt MIMICRAT aus.
Der Trojaner nutzt HTTPS zur C2-Kommunikation und kann zwei Dutzend Befehle verarbeiten: Prozess- und Dateisystem-Kontrolle, interaktive Shell-Zugriffe, Token-Manipulation, Shellcode-Injection und SOCKS-Proxy-Tunneling.
Wie Sicherheitsforscher Salim Bitam erklärt, unterstützt die Kampagne 17 Sprachen — die Phishing-Nachrichten werden dynamisch basierend auf den Browser-Spracheinstellungen des Opfers angepasst. Die identifizierten Opfer stammen aus verschiedenen Regionen, darunter eine US-amerikanische Universität sowie mehrere chinesischsprachige Nutzer in öffentlichen Foren, was auf eine opportunistische Massenabzielung hindeutet.
Quelle: The Hacker News