ClickFix: Neue Bedrohung durch staatlich geförderte Hackergruppen

MÜNCHEN (IT BOLTWISE) – In der Welt der Cyberkriminalität gibt es ständig neue Entwicklungen, die sowohl Unternehmen als auch Einzelpersonen bedrohen. Eine dieser Entwicklungen ist die ClickFix-Methode, die von staatlich geförderten Hackergruppen aus Nordkorea, Iran und Russland in ihren jüngsten Spionagekampagnen eingesetzt wird.

Die ClickFix-Angriffe, eine raffinierte Form des Social Engineering, gewinnen zunehmend an Bedeutung. Dabei handelt es sich um eine Technik, bei der bösartige Websites legitime Software- oder Dokumentenplattformen imitieren. Zielpersonen werden durch Phishing oder Malvertising auf diese Seiten gelockt und mit gefälschten Fehlermeldungen konfrontiert, die behaupten, ein Dokument oder Download sei fehlgeschlagen.

Die Opfer werden dann aufgefordert, auf einen „Fix“-Button zu klicken, der sie anweist, ein PowerShell- oder Kommandozeilenskript auszuführen. Dies führt zur Ausführung von Malware auf ihren Geräten. Laut Berichten von Microsofts Threat Intelligence Team nutzte die nordkoreanische Gruppe Kimsuky diese Methode bereits im Februar letzten Jahres im Rahmen einer gefälschten „Geräteregistrierung“-Webseite.

Ein neuer Bericht von Proofpoint zeigt, dass zwischen Ende 2024 und Anfang 2025 Kimsuky (Nordkorea), MuddyWater (Iran) sowie APT28 und UNK_RemoteRogue (Russland) ClickFix in ihren gezielten Spionageoperationen eingesetzt haben. Diese Angriffe ermöglichen es den Angreifern, wertvolle Informationen zu sammeln und ihre Spionageaktivitäten zu intensivieren.

Die Angriffe von Kimsuky wurden zwischen Januar und Februar 2025 beobachtet und richteten sich gegen Think Tanks, die sich auf nordkoreanische Politik konzentrieren. Die Hacker aus der Demokratischen Volksrepublik Korea (DVRK) verwendeten gefälschte E-Mails in koreanischer, japanischer oder englischer Sprache, um den Anschein zu erwecken, der Absender sei ein japanischer Diplomat. Nachdem Vertrauen aufgebaut wurde, schickten die Angreifer eine bösartige PDF-Datei, die auf ein gefälschtes sicheres Laufwerk verlinkte und das Opfer aufforderte, sich durch manuelles Kopieren eines PowerShell-Befehls in ihr Terminal zu „registrieren“.

Die MuddyWater-Angriffe fanden Mitte November 2024 statt und zielten auf 39 Organisationen im Nahen Osten ab. Die E-Mails waren als Microsoft-Sicherheitswarnungen getarnt und informierten die Empfänger darüber, dass sie ein kritisches Sicherheitsupdate anwenden müssten, indem sie PowerShell als Administrator auf ihren Computern ausführen. Dies führte zu Selbstinfektionen mit „Level“, einem Remote-Monitoring- und Management-Tool, das Spionageoperationen erleichtern kann.

Der dritte Fall betrifft die russische Bedrohungsgruppe UNK_RemoteRogue, die im Dezember 2024 zwei Organisationen angriff, die eng mit einem großen Waffenhersteller verbunden sind. Die von kompromittierten Zimbra-Servern gesendeten bösartigen E-Mails imitierten Microsoft Office. Ein Klick auf den eingebetteten Link führte die Ziele zu einer gefälschten Microsoft Word-Seite mit Anweisungen auf Russisch und einem YouTube-Video-Tutorial.

Proofpoint berichtet, dass APT28, eine Einheit des GRU, ClickFix bereits im Oktober 2024 eingesetzt hat, indem Phishing-E-Mails verwendet wurden, die ein Google Spreadsheet, einen reCAPTCHA-Schritt und PowerShell-Ausführungsanweisungen über ein Pop-up imitierten. Opfer, die diese Befehle ausführten, richteten unwissentlich einen SSH-Tunnel ein und starteten Metasploit, was den Angreifern Hintertürzugriff auf ihre Systeme verschaffte.

ClickFix bleibt eine effektive Methode, wie die Übernahme durch mehrere staatlich unterstützte Gruppen zeigt, die durch das mangelnde Bewusstsein für unaufgeforderte Befehlsausführungen angetrieben wird. Als allgemeine Regel sollten Benutzer niemals Befehle ausführen, die sie nicht verstehen oder aus Online-Quellen kopieren, insbesondere nicht mit Administratorrechten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!