Die Cybersicherheitslandschaft erlebt eine beunruhigende Entwicklung: Die Interlock-Ransomware-Gruppe hat ihre Angriffstaktiken verfeinert und nutzt nun eine innovative Methode namens FileFix. Diese neue Technik stellt eine gefährliche Weiterentwicklung der bekannten ClickFix-Angriffe dar und zielt darauf ab, Nutzer zur eigenständigen Infektion ihrer Systeme mit Remote Access Trojans (RAT) zu verleiten.
Die Evolution der Social Engineering-Attacken
ClickFix-Angriffe haben in der Cyberkriminalität bereits erhebliche Verbreitung gefunden. Nach Angaben des Sicherheitsunternehmens ESET verzeichnete die Nutzung von ClickFix als initialer Angriffsvektor einen drastischen Anstieg um 517 Prozent zwischen der zweiten Jahreshälfte 2024 und der ersten Hälfte 2025. Diese Technik basiert auf raffinierten Social Engineering-Prinzipien, bei denen Angreifer ihre Opfer auf betrügerische Webseiten locken.
Das Grundprinzip von ClickFix-Angriffen besteht darin, Nutzer dazu zu bringen, schädliche PowerShell-Befehle zu kopieren und auszuführen. Die Kriminellen nutzen dabei verschiedene Vorwände wie angebliche Browserprobleme bei der Inhaltsanzeige oder gefälschte CAPTCHA-Verifizierungen. Ursprünglich auf Windows-Systeme ausgerichtet, haben Sicherheitsexperten mittlerweile auch Kampagnen gegen macOS- und Linux-Nutzer dokumentiert.
FileFix: Perfektionierte Täuschungstechnik
Die FileFix-Methode, die kürzlich vom Cybersicherheitsexperten mr.d0x beschrieben wurde, repräsentiert eine bedeutende Weiterentwicklung der ClickFix-Angriffe. Der entscheidende Unterschied liegt in der Verwendung der vertrauten Windows-Explorer-Oberfläche anstelle der Kommandozeile, was die Wachsamkeit potenzieller Opfer erheblich reduziert.
Bei FileFix-Angriffen wird dem Nutzer auf einer manipulierten Webseite mitgeteilt, dass eine bestimmte Datei freigegeben wurde. Zur Lokalisierung dieser Datei soll das Opfer einen Pfad kopieren und in den Windows-Explorer einfügen. Die Phishing-Seite kann einen „Explorer öffnen“-Button enthalten, der bei Aktivierung den Datei-Explorer startet und gleichzeitig einen PowerShell-Befehl in die Zwischenablage kopiert. Beim Einfügen des Dateipfads und Drücken der Enter-Taste wird der schädliche Befehl ausgeführt.
Komplexe Verbreitungsinfrastruktur der Interlock-Malware
Sicherheitsforscher von The DFIR Report und Proofpoint warnten bereits im Mai 2025 vor der Verbreitung von Interlock RAT über KongTuke (LandUpdate808), ein hochentwickeltes Traffic Distribution System. Dieser mehrstufige Prozess kombiniert ClickFix-Techniken mit gefälschten CAPTCHA-Verifizierungen zur Malware-Infektion.
Anfang Juni vollzogen die Angreifer den Wechsel zu FileFix und begannen mit der Verbreitung einer PHP-Variante des Interlock RAT. In einigen Fällen wurde auch eine Node.js-Version der Malware beobachtet. Dies markiert die erste öffentlich dokumentierte Anwendung der FileFix-Taktik in realen Cyberangriffen.
Funktionsweise und Verhalten des Interlock RAT
Nach erfolgreicher Ausführung sammelt der Remote Access Trojaner umfassende Systeminformationen mittels PowerShell-Befehlen und überträgt diese an die Angreifer. Die Malware überprüft die Berechtigungen des angemeldeten Benutzers und etabliert Persistenz im System, um auf weitere Befehle zu warten.
Besonders bemerkenswert ist die manuelle Steuerung der Malware durch die Angreifer. Forscher beobachteten, wie die Kriminellen Backup-Systeme überprüften, lokale Verzeichnisse durchsuchten und Domain-Controller analysierten. In mehreren Fällen nutzten die Angreifer RDP-Verbindungen für laterale Bewegungen innerhalb kompromittierter Netzwerke.
Missbrauch legitimer Dienste zur Tarnung
Als Command-and-Control-Server nutzt die Malware trycloudflare.com und missbraucht dabei den legitimen Cloudflare Tunnel-Service zur Verschleierung ihrer Aktivitäten. Diese Strategie ermöglicht es den Kriminellen, herkömmliche Erkennungs- und Blockierungssysteme zu umgehen.
Die Einführung der FileFix-Technik verdeutlicht die kontinuierliche Evolution von Social Engineering-Methoden im Arsenal der Cyberkriminellen. Organisationen müssen ihre Mitarbeiterschulungen zur Cybersicherheit intensivieren, insbesondere hinsichtlich der Erkennung verdächtiger Webseiten und Aufforderungen zur Ausführung von Systembefehlen. Regelmäßige Sicherheitsupdates und die Implementierung mehrschichtiger Sicherheitsmaßnahmen bleiben essentiell für die Abwehr derartiger Bedrohungen.
