ClickFix-Technik zur Verbreitung des NetSupport-RAT genutzt
Seit Januar 2025 nutzen Cyberkriminelle verstärkt die ClickFix-Technik, um den Remote-Access-Trojaner NetSupport RAT zu verbreiten. Dabei werden Nutzer durch manipulierte Webseiten oder gefälschte CAPTCHA-Abfragen dazu gebracht, schädliche PowerShell-Befehle auszuführen. Diese laden und installieren den Trojaner unbemerkt auf dem System.
NetSupport RAT ist eine Schadsoftware, die typischerweise über manipulierte Webseiten und gefälschte Browser-Updates verbreitet wird. Sobald ein System infiziert ist, erhalten die Angreifer vollständige Kontrolle über den Rechner des Opfers. Sie können in Echtzeit den Bildschirm des Geräts überwachen, die Tastatur und Maus fernsteuern, Dateien auf das infizierte System hochladen oder von dort herunterladen sowie beliebige bösartige Befehle ausführen.
Ursprünglich wurde das Programm unter dem Namen NetSupport Manager als legitime Software für den Fernzugriff und IT-Support entwickelt. Doch mittlerweile nutzen Cyberkriminelle diese Anwendung gezielt für Angriffe auf Unternehmen und Organisationen. Sie setzen die Malware ein, um vertrauliche Informationen zu stehlen, etwa mittels Screenshots, Audio- und Videoaufnahmen, oder eben durch klassischen Datenklau.
ClickFix: Eine raffinierte Technik zur Verbreitung von Malware
Das Cybersicherheitsunternehmen eSentire beschreibt ClickFix als eine besonders raffinierte Angriffsmethode. Dabei handelt es sich um eine Technik, bei der Cyberkriminelle auf bereits kompromittierten Webseiten eine gefälschte CAPTCHA-Prüfung einfügen. Besucher dieser manipulierten Webseiten werden dazu aufgefordert, bestimmte Anweisungen zu befolgen – oft mit der Absicht, sie dazu zu bringen, bösartige PowerShell-Befehle manuell auf ihrem eigenen System auszuführen.
Diese Befehle bewirken, dass im Hintergrund Schadsoftware heruntergeladen und aktiviert wird. In den von eSentire dokumentierten Fällen wurde auf diese Weise der NetSupport RAT-Client von einem externen Server geladen und installiert. Die Täter tarnen die schädlichen Dateien, indem sie sie als scheinbar harmlose PNG-Bilddateien auf dem Server ablegen In Wirklichkeit enthalten diese falsch deklarierten Dateien ausführbare Schadsoftware.
ClickFix wird auch zur Verbreitung anderer Malware genutzt
Neben dem NetSupport RAT wird die ClickFix-Technik mittlerweile auch zur Verbreitung einer neuen Version der Malware Lumma Stealer eingesetzt. Diese Schadsoftware wurde aktualisiert und nutzt nun den ChaCha20-Verschlüsselungsalgorithmus, um eine Konfigurationsdatei zu entschlüsseln. Diese Datei enthält eine Liste von Command-and-Control-Servern (C2-Servern), mit denen die Malware kommuniziert, um gestohlene Daten an die Angreifer zu übermitteln.
Laut eSentire deutet diese Entwicklung darauf hin, dass die Betreiber der Lumma Stealer-Malware gezielt an neuen Verschleierungstechniken arbeiten. Ihr Ziel ist es, moderne Sicherheits- und Analysetools zu umgehen, sodass die Infektion unentdeckt bleibt.
Fazit
Die Kombination aus manipulierten Webseiten, sozialer Manipulation und PowerShell-Skripten macht diesen Angriff besonders gefährlich. Meist werden keine klassischen Schadsoftware-Dateien verwendet, sondern Nutzer direkt dazu gebracht, den Angriff selbst auszulösen.
Unternehmen und Privatpersonen sollten daher besonders vorsichtig sein, wenn sie auf ungewöhnliche CAPTCHA-Abfragen oder unerwartete Anweisungen auf Webseiten stoßen. Zudem wird empfohlen, PowerShell-Befehle nicht unüberlegt auszuführen, besonders wenn diese von Webseiten oder verdächtigen Quellen stammen.