ClickFix-Attacken sind ein bewährtes Angriffsmuster, das Sicherheitsforscher vor etwa zwei Jahren erstmals dokumentierten. Die Methode setzt auf psychologische Manipulation: Opfer landen auf gefälschten Webseiten, die falsche Sicherheitswarnungen anzeigen – etwa vermeintliche Cloudflare-CAPTCHAs, Betriebssystem-Updates oder SSL-Zertifikatsfehler. Alles wirkt täuschend echt. Die Nutzer werden aufgefordert, eine Command in der Run-Dialogbox oder Terminal einzugeben und auszuführen. Weil die Nutzer die Aktion selbst initiieren, wird sie vom System als legitim eingestuft und umgeht gängige Sicherheitslogiken.
Venom Stealer hebt diese Angriffsmethode auf ein neues Niveau. Die Plattform bietet vier vorgefertigte Templates pro Betriebssystem, mit denen Angreifer mit minimalem technischen Know-how ihre Kampagnen starten können. Windows-Nutzer können über verschiedene Payload-Formate (EXE, PowerShell-Fileless, HTA, BAT) kompromittiert werden, macOS-Opfer über Bash- und Curl-Befehle.
Das Bemerkenswerteste ist jedoch die Persistenz und Kontinuität des Angriffs. Anders als traditionelle Infostealer, die einmalig Daten kopieren und sich dann selbst deinstallieren, bleibt Venom Stealer nach der initialen Infektion aktiv. Die Malware überwacht ständig die Anmeldedaten in Chrome und Firefox, erfasst neue Passwörter in Echtzeit und exfiltriert sie sofort – ein Prozess, der die übliche Incident-Response-Maßnahme der Passwortrotation unterminiert.
Eine besonders tückische Funktion sind die integrierten Kryptowährungs-Wallet-Cracker. Venom Stealer greift auf eine GPU-gestützte Server-Infrastruktur zu, um Wallets von MetaMask, Phantom, Solflare, Trust Wallet und neun weitere Systeme zu knacken. Ein Update im März 2024 erweiterte die Funktionalität um einen File Password und Seed Finder, der lokal gespeicherte Seed-Phrasen aufspürt – selbst Nutzer, die bewusst auf das Speichern von Passwörtern im Browser verzichten, sind damit gefährdet.
Die technische Eleganz von Venom Stealer liegt auch in seinen Evasions-Mechanismen. Die Malware nutzt eine stille Rechteerweiterung, um die Verschlüsselungsschlüssel von Chrome zu extrahieren, ohne dass eine UAC-Abfrage erscheint. Dadurch hinterlässt sie kaum forensische Spuren.
Deutsche Unternehmen sollten mehrschichtig reagieren: PowerShell-Ausführung einschränken, die Run-Dialogbox für Standard-Nutzer deaktivieren und Mitarbeiter schulen, ClickFix-Angriffe zu erkennen. Auf Netzwerk-Ebene ist die Überwachung und Kontrolle ausgehender Verbindungen entscheidend, um Datenexfiltration zu blockieren.