Die Bedrohung verteilt sich über eine betrügerische Webseite, die sich als CAPTCHA-Sicherheitssystem tarnt und unter der Domain „happyglamper[.]ro” operiert. Ahnungslose Benutzer werden aufgefordert, über Win + R und anschließend Ctrl + V + Enter einen Befehl auszuführen. Das ist die klassische ClickFix-Masche – doch das Umsetzung ist raffinierter geworden.
Neue Taktiken umgehen klassische Überwachung
Statt wie früher PowerShell oder Windows Script Host (MSHTA) einzusetzen, nutzen die Angreifer nun den Befehl „net use”, um ein WebDAV-Netzlaufwerk von einem externen Server einzubinden. Von diesem Server wird anschließend eine Batch-Datei namens „update.cmd” ausgeführt. Diese Methode ist keine Innovation, wurde aber bislang nie bei ClickFix-Angriffen beobachtet – und genau darin liegt die Stärke: Während EDR-Lösungen (Endpoint Detection & Response) typischerweise PowerShell und andere Skript-Engines überwachen, bleibt dieser Ansatz unter dem Radar.
WorkFlowy als Trojanisches Pferd
Die Batch-Datei lädt eine ZIP-Datei herunter, entpackt sie und startet die WorkFlowy-Anwendung – eine legitime Produktivitäts-Software. Doch hier offenbart sich der eigentliche Trick: Die Angreifer haben eine ältere Version von WorkFlowy (1.4.1050 statt aktuell 4.3) mit manipuliertem Code repackt. Die Malware versteckt sich in der „app.asar”-Datei, einem speziellen Archiv-Format, das Electron-Anwendungen nutzen. Sie haben den Code im Einstiegspunkt der Anwendung (main.js) injiziert – stark obfuskiert und schwer zu erkennen.
Vollständige Kontrolle ohne Spuren
Wenn WorkFlowy startet, lädt es diese manipulierte Datei und führt den bösartigen Code mit vollständigen Benutzerrechten aus – außerhalb der Chromium-Sandbox. Das Malware-Modul agiert als C2-Beacon (Command & Control) und Dropper für weitere Nutzlasten. Ein wesentlicher Vorteil für Cyberkriminelle: Die gesamte Malware lädt sich nur im RAM, schreibt nichts auf die Festplatte und hinterlässt kaum Spuren. Nur wenn die C2-Verbindung hergestellt wird, entsteht eine Datei namens „id.txt” zur Opferverfolgung.
Threat Hunting statt Automated Defense
Bei der Analyse zeigte sich: Microsoft Defender for Endpoint erkannte die Bedrohung nicht. Nur durch gezielte Threat Hunting, also manuelle Sicherheitsforschung, konnten Atos-Experten die Attacke aufdecken. Sie konzentrierten sich auf einen Schlüssel-Indikator – die Ausführung über die RunMRU-Registry, die die Windows-Run-Funktion protokolliert.
Diese Entwicklung unterstreicht einen wichtigen Trend: Während Malware-Autoren ihre Methoden an moderne Abwehrmechanismen anpassen, werden automatisierte Sicherheitssysteme allein nicht mehr ausreichen. Proaktive Threat Hunting und Verhaltensanalyse werden zunehmend zum Eckpfeiler der Cyberverteidigung.