Cybersicherheitsexperten haben eine ausgeklügelte Phishing-Kampagne aufgedeckt, die die aktuelle Diskussion um die mögliche Begnadigung von Silk Road-Gründer Ross Ulbricht ausnutzt. Die Angreifer setzen dabei auf eine Kombination aus Social Engineering und PowerShell-Manipulation, um Schadsoftware auf den Systemen ihrer Opfer zu installieren.
ClickFix: Anatomie einer raffinierten Täuschung
Das Forschungsteam von VX-underground identifizierte die Kampagne als Variante der ClickFix-Attacke, die auch unter den Namen ClearFake oder OneDrive Pastejacking bekannt ist. Die Cyberkriminellen erstellen gefälschte Profile im sozialen Netzwerk X (ehemals Twitter), die sich als Teil der „Free Ross“-Bewegung ausgeben. Diese Profile leiten arglose Nutzer zu manipulierten Telegram-Kanälen weiter, wo der eigentliche Angriff beginnt.
Technische Details der Infektionskette
Im Telegram-Kanal wird den Opfern ein vermeintlicher „Safeguard Captcha“-Check präsentiert. Der kritische Moment tritt ein, wenn das System automatisch einen schädlichen PowerShell-Befehl in die Zwischenablage des Nutzers kopiert. Die Angreifer versuchen dann, ihre Opfer zur Ausführung dieses Befehls über Windows Run zu bewegen, angeblich als Teil eines Authentifizierungsprozesses.
Analyse der Malware-Komponenten
Die Ausführung des PowerShell-Befehls initiiert eine komplexe Infektionskette: Ein Skript lädt einen ZIP-Archiv vom Domain openline[.]cyou herunter, das verschiedene Dateien enthält, darunter identity-helper.exe. Analysen auf VirusTotal bestätigen, dass diese ausführbare Datei als Cobalt Strike Loader fungiert – ein beliebtes Tool für Remote-Systemzugriffe in kriminellen Kreisen.
Angesichts der steigenden Sophistikation solcher Angriffe empfehlen Sicherheitsexperten dringend erhöhte Wachsamkeit im digitalen Alltag. Nutzer sollten niemals PowerShell-Befehle oder Windows Run-Kommandos aus unbekannten Quellen ausführen. Ein mehrschichtiger Sicherheitsansatz, bestehend aus aktuellem Antivirenschutz, regelmäßigen Systemupdates und geschultem Sicherheitsbewusstsein, bietet den effektivsten Schutz gegen diese Art von Social-Engineering-Attacken. Die Verwendung von PowerShell-Skript-Blockierung in Unternehmensumgebungen kann zusätzliche Sicherheit bieten.
