Eine von BlackPoint Cyber analysierte Angriffskampagne zeigt eindrücklich, wie weit sich moderne Social-Engineering- und Living‑off‑the‑Land‑Techniken entwickelt haben. Angreifer kombinieren gefälschte CAPTCHA-Seiten, legitime Microsoft-App‑V‑Komponenten, Cloud-Dienste und Steganografie, um den Infostealer Amatera heimlich auf Windows-Systemen zu installieren.
Weiterentwicklung von ClickFix: vom Bluescreen-Spoof zur gefälschten CAPTCHA
Das zugrunde liegende Muster orientiert sich am bekannten ClickFix‑Ansatz: Nutzer werden dazu gebracht, selbst eine schädliche Kommandozeile auszuführen. Statt der klassischen gefälschten Fehlermeldungen oder Pseudo-Bluescreens präsentieren die Täter nun eine Fake‑CAPTCHA‑Seite, die vorgibt, eine zusätzliche Prüfung zu erfordern.
Anstelle des üblichen „Ich bin kein Roboter“-Klicks fordert die Seite den Anwender auf, eine bereitgestellte Zeichenfolge zu kopieren und über Win+R (Windows-Ausführen) zu starten. Da der Befehl vermeintlich Teil einer Sicherheitsprüfung ist, sinkt die Hemmschwelle deutlich – selbst bei technisch vergleichsweise versierten Nutzern. ClickFix-Ableger wurden bereits gegen Windows, macOS und Linux beobachtet, was die universelle Wirksamkeit dieser Form der Social Engineering unterstreicht.
Missbrauch von App‑V‑Skripten und wscript.exe für verschleierte Ausführung
Die vom Nutzer ausgeführte Zeile nutzt das legitime App‑V-Skript SyncAppvPublishingServer.vbs, das eigentlich zur Verwaltung virtualisierter Anwendungen in Unternehmensumgebungen gedacht ist. Dieses Skript wird über den vertrauenswürdigen Windows-Skriptinterpreter wscript.exe gestartet, der wiederum weitere PowerShell‑Befehle ausführt.
Indem ausschließlich signierte, systemeigene Komponenten genutzt werden, fügt sich die Aktivität unauffällig in normale Unternehmensprozesse ein. Solche Living‑off‑the‑Land‑Techniken erschweren signaturbasierte Erkennung deutlich, da weder verdächtige ausführbare Dateien noch offensichtliche Tools von Drittanbietern auftauchen.
Anti-Sandbox-Techniken: manuelle Ausführung als Voraussetzung
In einer frühen Phase führt der Schadcode mehrere Umgebungsprüfungen durch. Er kontrolliert unter anderem, ob die Befehle tatsächlich manuell eingegeben wurden, in welcher Reihenfolge Aktionen erfolgen und welche Inhalte im Zwischenspeicher liegen. Stimmen bestimmte Parameter nicht, schaltet der Code in einen Zustand endloser Wartezeit.
Diese Anti‑Sandbox‑Mechanismen sollen automatische Analysesysteme, Malware-Sandboxes und verhaltensbasierte EDR-Lösungen täuschen. Dynamische Analysen liefern dann keine verwertbaren Ergebnisse, weil die schädliche Logik scheinbar nie aktiv wird – ein Vorgehen, das in fortgeschrittenen Kampagnen inzwischen zum Standardrepertoire gehört.
Google Calendar als C2-Konfiguration und verstecktes PowerShell über WMI
Statt herkömmlicher Command‑and‑Control‑Server bezieht die Malware ihre Konfigurationsdaten aus einem öffentlichen Google‑Calendar‑Eintrag. In Kalenderevents sind base64‑kodierte Werte abgelegt, die Parameter für die weitere Kommunikation enthalten. Der Einsatz eines weit verbreiteten Cloud-Dienstes tarnt den Datenverkehr als legitimen HTTPS‑Traffic und erschwert die Erkennung durch einfache Domain‑ oder IP‑Blocklisten.
Im Anschluss erzeugen die Angreifer über WMI (Windows Management Instrumentation) einen versteckten 32‑Bit‑PowerShell‑Prozess, der die nachfolgenden Payloads direkt im Arbeitsspeicher lädt. Dieser fileless-Ansatz reduziert die Spuren auf dem Dateisystem und unterläuft klassische AV-Engines, die primär auf Datei-Scans basieren. Moderne EDR- und XDR-Lösungen fokussieren deshalb zunehmend auf Skript- und Prozessverhalten anstatt nur auf Dateien.
Steganografie in PNG-Dateien: verdeckte Payload-Auslieferung
Die nächste Stufe der Angriffskette nutzt Steganografie, um zusätzliche PowerShell-Payloads in scheinbar harmlosen PNG‑Bildern zu verstecken, die über öffentliche CDN-Infrastrukturen bereitgestellt werden. Der Zugriff erfolgt über das Windows-API WinINet, wodurch die Kommunikation wie normale HTTP‑Bildabrufe wirkt.
Die Malware extrahiert die versteckten Daten mittels LSB‑Steganografie (Least Significant Bit), entschlüsselt sie, dekomprimiert den Inhalt mit GZip und führt alles ausschließlich im Speicher aus. Dadurch entsteht ein mehrstufiger, stark verschleierter Lieferweg, der Netzwerksensoren und statische Analysen vor erhebliche Herausforderungen stellt.
Amatera-Infostealer: Malware-as-a-Service mit modularer Architektur
Im finalen Schritt entschlüsselt PowerShell eigenen Shellcode, der den Infostealer Amatera auf dem System platziert. Nach der Initialisierung verbindet sich Amatera mit einer hart kodierten IP-Adresse, ruft eine Übersicht verfügbarer Endpunkte ab und lädt zusätzliche binäre Module per HTTP‑POST nach – eine modulare Architektur, die flexible Nachladefunktionen ermöglicht.
Forschungsberichte, unter anderem von Proofpoint, ordnen Amatera als Malware‑as‑a‑Service ein, basierend auf dem Quellcode des ACR‑Stealers. Der Fokus liegt auf dem Diebstahl von Browserdaten, Zugangsdaten und weiteren sensiblen Informationen, die in Untergrundforen gehandelt oder für Folgeangriffe genutzt werden. Die MaaS‑Struktur senkt die Einstiegshürde, da Betreiber Infrastruktur, Panel und Support bereitstellen.
Risikobewertung und Handlungsempfehlungen für Unternehmen
Die Kombination aus Social Engineering, Missbrauch vertrauenswürdiger Windows-Komponenten, Nutzung populärer Cloud-Dienste, Steganografie und fileless-Techniken macht diese Kampagne besonders wirkungsvoll. Laut dem Verizon Data Breach Investigations Report 2023 beginnt über die Hälfte der erfolgreichen Angriffe mit Social Engineering – ClickFix‑Szenarien fügen sich nahtlos in dieses Muster ein.
Organisationen sollten daher technische und organisatorische Maßnahmen kombinieren: PowerShell im Constrained Language Mode betreiben, Script Block Logging aktivieren, den Einsatz von App‑V‑Skripten und wscript.exe streng reglementieren, sowie WMI‑Aktivitäten und die Erstellung versteckter Prozesse überwachen. Ergänzend ist eine Netzwerksegmentierung mit Überwachung von Verbindungen zu ungewöhnlichen Cloud‑Ressourcen und öffentlichen Kalendern sinnvoll.
Mindestens ebenso wichtig ist kontinuierliche Sensibilisierung der Mitarbeitenden: Anwender sollten gefälschte CAPTCHA-Seiten, eingeblendete „Darstellungsfehler“ und jede Aufforderung, Befehle manuell über PowerShell oder Win+R auszuführen, konsequent hinterfragen und an den IT‑Support melden. Moderne Verteidigungsstrategien müssen den Menschen als letzte Verteidigungslinie einplanen – je seltener ein Mitarbeiter eine scheinbar „empfohlene“ Kommandozeile ausführt, desto schwieriger lassen sich komplexe ClickFix‑Ketten wie im Fall von Amatera realisieren.
