Microsoft warnt vor ClickFix-Phishing-Kampagne im Gastgewerbe
Microsoft hat eine raffinierte Phishing-Kampagne entdeckt, die gezielt den Gastgewerbesektor angreift. Hacker tarnen sich als Booking.com und nutzen die Social-Engineering-Technik ClickFix, um täuschend echte E-Mails zu versenden. Ihr Ziel: Anmeldeinformationen stehlen und Malware einschleusen.
Laut dem Bedrohungsanalyse-Team von Microsoft läuft seit Dezember 2024 eine groß angelegte Phishing-Kampagne, die auf Finanzbetrug und Datendiebstahl abzielt. Microsoft verfolgt diese Bedrohung unter dem Namen Storm-1865.
Die Cyberkriminellen geben sich als Booking.com aus und versenden gefälschte E-Mails an Hotels und Unternehmen in Nordamerika, Europa, Ozeanien sowie Süd- und Südostasien. Die Nachrichten wirken täuschend echt und enthalten angeblich eine negative Gästebewertung. Das Opfer wird gebeten, Feedback zu geben – über einen Link oder einen PDF-Anhang, der angeblich zur Buchungsseite führt.
Doch in Wahrheit leitet der Link auf eine gefälschte CAPTCHA-Seite, die im Hintergrund eine echte Booking.com-Website nachahmt. Diese Technik soll das Opfer in falscher Sicherheit wiegen und die Wahrscheinlichkeit erhöhen, dass es die nächsten Schritte ausführt.
ClickFix: Manipulation durch gefälschte Fehlermeldungen
Microsoft warnt davor, dass diese Kampagne die ClickFix-Technik nutzt – eine besonders raffinierte Social-Engineering-Methode, die Nutzer dazu bringt, sich selbst mit Malware zu infizieren.
- Die gefälschte CAPTCHA-Seite fordert das Opfer auf, eine Tastenkombination zu drücken und einen vorgefertigten Befehl in das Windows-Ausführungsfenster einzufügen.
- Dieser Befehl nutzt eine legitime Windows-Datei (mshta.exe), um die nächste Malware-Stufe nachzuladen.
- Die Schadsoftware installiert eine Reihe gefährlicher Programme, darunter XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot und NetSupport RAT.
Microsoft hat beobachtet, dass Storm-1865 bereits seit Anfang 2023 aktiv ist. Die Gruppe missbraucht bekannte Plattformen wie Online-Reisebüros, E-Commerce-Websites und E-Mail-Dienste (Gmail, iCloud Mail), um Opfer auf betrügerische Zahlungsseiten zu leiten und Kreditkartendaten zu stehlen.
Das Sicherheitsunternehmen Cofense hat ebenfalls dokumentiert, dass Cyberkriminelle gefälschte Booking.com-Nachrichten in Kombination mit der ClickFix-Technik nutzen – in diesem Fall, um die Malware XWorm zu verbreiten. Laut Cofense wurde diese Methode bei XWorm RAT fast doppelt so oft beobachtet wie bei anderen Schadsoftware-Familien, was ihre besondere Effektivität unterstreicht.
„Die ClickFix-Methode nutzt gezielt menschliches Verhalten aus“ so Group-IB in einem aktuellen Bericht. „Indem sie eine scheinbar plausible ‚Lösung‘ für ein vermeintliches Problem präsentieren, verlagern Angreifer die Verantwortung für die Ausführung der Malware auf den Nutzer – und umgehen so viele automatisierte Schutzmaßnahmen.“
Eine von Group-IB dokumentierte Kampagne zeigt, wie ClickFix genutzt wird, um einen Downloader namens SMOKESABER zu installieren, der anschließend als Einfallstor für Lumma Stealer dient. Andere Angriffe setzen auf Malvertising, SEO-Manipulation, GitHub-Issues sowie Spam-Beiträge in Foren und sozialen Netzwerken, um Nutzer auf ClickFix-Seiten zu locken.
„ClickFix ist eine neue und besonders effektive Form des Social Engineerings“, betont Group-IB. „Sie nutzt das Vertrauen der Nutzer und die Funktionen moderner Browser, um Malware zu verbreiten. Die schnelle Verbreitung dieser Technik beweist, wie effektiv sie ist und wie einfach sie sich umsetzen lässt.“
Microsoft und andere Sicherheitsunternehmen berichten, dass ClickFix immer häufiger nicht nur von Cyberkriminellen immer häufiger auch von staatlichen Hackergruppen wie APT28 (Russland) und MuddyWater (Iran) eingesetzt wird.
Neue Varianten der ClickFix-Kampagne
In den letzten Wochen wurden weitere Angriffe entdeckt, bei denen ClickFix für Malware-Verbreitung im Einsatz war:
- Fake-CAPTCHAs zur Initiierung einer mehrstufigen PowerShell-Infektion, die Lumma Stealer und Vidar verbreitet.
- Gefälschte Google reCAPTCHA-Seiten, die von der Hackergruppe Blind Eagle genutzt werden, um Malware zu installieren.
- Fake-Buchungsbestätigungen, die zu CAPTCHA-Seiten führen, die dann Lumma Stealer herunterladen.
- Gefälschte Windows-Support-Seiten, die ebenfalls auf manipulierte CAPTCHA-Abfragen verlinken.
Missbrauch von GitHub für Malware-Distribution
Eine weitere neu entdeckte Kampagne nutzt gefälschte GitHub-Repositories, um Malware zu verbreiten. Dabei erstellen Hacker KI-generierte Inhalte, die vermeintlich kostenlose Programme oder Spiele-Cheats anbieten. Nutzer werden dazu verleitet, ZIP-Dateien mit Namen wie Release.zip oder Software.zip herunterzuladen, in denen sich ein Loader namens SmartLoader befindet. Dieser wiederum lädt im Hintergrund die Schadsoftware Lumma Stealer nach. Das Sicherheitsunternehmen Trend Micro warnt, dass Cyberkriminelle gezielt das Vertrauen in Plattformen wie GitHub ausnutzen, um Malware unauffällig zu verbreiten und Opfer zu täuschen.
Weitere Phishing-Kampagnen entdeckt
Die aktuellen Erkenntnisse stehen im Zusammenhang mit einem Bericht von Trustwave, in dem eine E-Mail-Phishing-Kampagne beschrieben wird. Dabei setzen die Angreifer auf rechnungsbezogene Köder, um eine weiterentwickelte Version der Stealer-Malware StrelaStealer zu verbreiten. Die Kampagne wird einem einzelnen Bedrohungsakteur zugeordnet, der von den Forschern als Hive0145 bezeichnet wird.
„Die StrelaStealer-Samples enthalten eine speziell entwickelte, mehrschichtige Verschleierung sowie Code-Flow-Flattening, um die Analyse deutlich zu erschweren“, erklärte das Unternehmen. „Berichten zufolge hat der Bedrohungsakteur möglicherweise einen spezialisierten Crypter namens ‚Stellar Loader‘ entwickelt, der gezielt für den Einsatz mit StrelaStealer vorgesehen ist.“
Auch das deutsche Cybersicherheitsunternehmen G DATA hat eine gefährliche Kampagne entdeckt, die auf eine ähnliche Taktik setzt. Hierbei werden gefälschte Buchungsbestätigungslinks mit der ClickFix-Technik verwendet, um die Malware Lumma Stealer zu verbreiten. Besonders betroffen sind Nutzer in Deutschland und auf den Philippinen, die durch die vermeintlich vertrauenswürdigen Nachrichten zur Ausführung der Schadsoftware verleitet werden.
ClickFix ist eine ernsthafte Bedrohung
Die ClickFix-Technik ist extrem gefährlich, weil sie Nutzer dazu bringt, sich unwissentlich selbst zu infizieren. Sie wird von Cyberkriminellen und staatlichen Hackergruppen gleichermaßen eingesetzt, um Phishing-Schutzmechanismen zu umgehen und sensible Daten zu stehlen. Da ClickFix sich schnell verbreitet, wird es für Unternehmen und Privatnutzer immer wichtiger, auf verdächtige Phishing-Techniken vorbereitet zu sein.