Cybersicherheitsexperten der Firma Sekoia haben eine neue Welle von Cyberangriffen aufgedeckt, die unter dem Namen ClickFix bekannt geworden sind. Diese hochentwickelte Kampagne zielt darauf ab, Unternehmen durch gefälschte Google Meet-Seiten zu infiltrieren und Schadsoftware auf Windows- und macOS-Systemen zu verbreiten. Angesichts der zunehmenden Verbreitung von Remote-Arbeit stellt diese Bedrohung eine ernsthafte Gefahr für die Unternehmenssicherheit dar.
Anatomie eines ClickFix-Angriffs: Raffiniertes Social Engineering
Die ClickFix-Methode, auch als ClearFake oder OneDrive Pastejacking bekannt, nutzt ausgeklügelte Social-Engineering-Taktiken. Cyberkriminelle versenden E-Mails, die als Einladungen zu Geschäftsmeetings über Google Meet getarnt sind. Beim Klick auf den Link landen die Opfer auf einer täuschend echt aussehenden, aber gefälschten Webseite. Dort werden sie mit einer vorgetäuschten technischen Störung konfrontiert, beispielsweise einem angeblichen Mikrofonproblem.
Die Angreifer verleiten die Zielperson dazu, manuell einen bösartigen PowerShell-Code zu kopieren und auszuführen, angeblich um das Problem zu beheben. In Wirklichkeit lädt und installiert dieser Code Malware auf dem Gerät des Opfers.
Zielgruppen und Verbreitung von Malware
Die Analysten von Sekoia haben festgestellt, dass die Angriffe vorwiegend auf Unternehmen aus dem Transport- und Logistiksektor abzielen. Dies könnte auf die kritische Bedeutung dieser Branchen für die globale Wirtschaft und den potenziell hohen Wert der dort gespeicherten Daten zurückzuführen sein.
Windows-Nutzer sind von der Installation der Infostealer StealC und Rhadamanthys betroffen. MacOS-Anwendern wird hingegen der Download eines schädlichen Disk-Images angeboten, das den Stealer Atomic enthält.
Charakteristika der Phishing-Domains
Die Sekoia-Experten haben eine Reihe verdächtiger Domains identifiziert, die für diese Kampagne genutzt werden. Diese imitieren häufig legitime Google Meet-URLs, zum Beispiel:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.web-joining[.]com
Es ist wichtig zu betonen, dass authentische Google Meet-URLs stets mit „google.com“ enden, ohne zusätzliche Elemente.
Verbindungen zu bekannten Hackergruppen
Die Sekoia-Analysten bringen diese Kampagne mit den Aktivitäten zweier Hackergruppen in Verbindung: Slavic Nation Empire (auch bekannt als Slavice Nation Land) und Scamquerteo. Beide Gruppen sind Untereinheiten größerer Kollektive namens markopolo und CryptoLove.
Die Forscher vermuten, dass diese Gruppierungen möglicherweise eine gemeinsame Infrastruktur und Ressourcen für die Erstellung von Phishing-Seiten nutzen. Dies deutet auf die potenzielle Existenz eines bisher unbekannten Hacking-as-a-Service-Angebots hin, das Tools für solche Angriffe bereitstellt.
Die ClickFix-Kampagne unterstreicht die zunehmende Raffinesse von Cyberangriffen und die Notwendigkeit ständiger Wachsamkeit. Unternehmen wird dringend empfohlen, ihre Mitarbeiterschulungen im Bereich Cybersicherheit zu intensivieren, mit besonderem Fokus auf die Erkennung von Phishing-E-Mails und verdächtigen Webseiten. Regelmäßige Software-Updates und der Einsatz robuster Anti-Malware-Lösungen bleiben entscheidende Maßnahmen zur Abwehr solcher Bedrohungen. Nur durch eine Kombination aus technischen Schutzmaßnahmen und geschultem Sicherheitsbewusstsein der Mitarbeiter können Organisationen ihre digitalen Assets effektiv vor den sich ständig weiterentwickelnden Cyberbedrohungen schützen.
