ClickFix-Angriffe nutzen erstmals DNS-Abfragen für

Key Takeaways:

• Erstmaliger Einsatz: Bedrohungsakteure missbrauchen DNS-Abfragen als Kanal in ClickFix-Social-Engineering-Angriffen.
• Neue Taktik: Opfer werden dazu gebracht, einen manipulierten nslookup-Befehl auszuführen, der ein schädliches PowerShell-Skript von einem Angreifer-DNS-Server lädt.
• Finale Payload: Die Angriffskette führt zur Installation der Remote-Access-Trojaners ModeloRAT.
• Schnelle Evolution: ClickFix-Angriffe entwickeln sich rasant weiter und zielen nun auch auf Browser und Cloud-Konten ab.

Microsoft-Warnungen zufolge hat eine neue Variante der sogenannten ClickFix-Angriffe eine beunruhigende technische Innovation eingeführt: Sie nutzt erstmals das Domain Name System (DNS) als direkten Lieferkanal für Malware. Diese Social-Engineering-Angriffe, bei denen Nutzer dazu gebracht werden, selbst schädliche Befehle auszuführen, erreichen damit ein neues Level an Tarnung.

DNS-Abfragen liefern bösartiges PowerShell-Skript

In der beobachteten Kampagne werden Opfer dazu verleitet, einen speziellen nslookup-Befehl im Windows-Ausführen-Dialog auszuführen. Dieser Befehl fragt nicht den Standard-DNS-Server des Systems ab, sondern einen von den Angreifern kontrollierten Server unter der IP-Adresse 84[.]21.189[.]20.

Die Antwort des manipulierten DNS-Servers enthält im Feld "NAME:" nicht eine normale IP-Adresse, sondern einen vollständigen, schädlichen PowerShell-Befehl. Dieser wird sofort über den Windows-Kommandozeileninterpreter (cmd.exe) ausgeführt und lädt die nächste Stufe der Malware nach.

"Microsoft Defender researchers observed attackers using yet another evasion approach to the ClickFix technique: Asking targets to run a command that executes a custom DNS lookup and parses the Name: response to receive the next-stage payload for execution." – Microsoft Threat Intelligence

Vom DNS-Server zum Vollzugriff: Die Angriffskette

Die zweite Stufe des Angriffs ist ein PowerShell-Skript, das weitere Schadkomponenten von der Infrastruktur der Angreifer herunterlädt. Die finale Payload besteht aus:

• Einem Python-Runtime-Executable und bösartigen Skripten zur Erkundung des infizierten Systems und der Domain.
• Einer Persistenz-Mechanismus, der über eine VBScript-Datei und einen Startordner-Link sicherstellt, dass die Malware beim Systemstart neu geladen wird.
• Der eigentlichen Nutzlast: Dem ModeloRAT, einem Remote-Access-Trojaner, der den Angreifern die vollständige Fernsteuerung des kompromittierten Systems ermöglicht.

Der entscheidende Unterschied zu früheren ClickFix-Angriffen liegt im Kanal: Statt HTTP wird DNS als Kommunikations- und Staging-Kanal genutzt. Dies bietet den Angreifern mehrere Vorteile:

• Dynamische Payloads: Die schädlichen Skripte können auf dem DNS-Server jederzeit geändert werden.
• Bessere Tarnung: DNS-Verkehr ist allgegenwärtig und fällt in Netzwerkprotokollen weniger auf als ungewöhnliche HTTP-Verbindungen zu unbekannten Domains.

ClickFix-Angriffe entwickeln sich rasant weiter

Die ClickFix-Technik hat sich im letzten Jahr sprunghaft weiterentwickelt. Die Bedrohungsakteure experimentieren kontinuierlich mit neuen Liefermethoden und erweitern ihre Ziele.

• Vom lokalen System zum Browser: Neuere Kampagnen zielen nicht mehr nur auf die Installation von Malware ab. Ein aktueller Angriff über Pastebin-Kommentare trickst Kryptowährungs-Nutzer dazu, schädlichen JavaScript-Code direkt im Browser einer Exchange-Plattform auszuführen, um Transaktionen zu hijacken.
• Missbrauch von Cloud-Diensten: Beim sogenannten "ConsentFix"-Angriff wird die Azure CLI OAuth-App missbraucht, um Microsoft-Konten zu übernehmen und die Zwei-Faktor-Authentifizierung (MFA) zu umgehen.
• Social Engineering über KI-Tools: Angreifer nutzen die Popularität von KI-Chatbots wie ChatGPT, Grok und Claude, um über gefälschte Anleitungsseiten Nutzer in ClickFix-Angriffe zu locken.

Die jüngste Innovation mit DNS unterstreicht die Anpassungsfähigkeit dieser Angreifer. Sie suchen gezielt nach weniger überwachten Protokollen und legitimen Systemtools, um ihre Aktivitäten zu verschleiern. Für Nutzer und Sicherheitsteams bedeutet dies, dass selbst scheinbar harmlose Systembefehle wie nslookup in einem Social-Engineering-Kontext eine erhebliche Bedrohung darstellen können.