Click-Fix-Angriffe

Neue Click-Fix-Angriffe nutzen gefälschte Google-Meet-Seiten, um schadhafte Malware zu verbreiten – mit entsprechenden Folgen.

Die neue Taktik der Kriminellen zeigt vermeintliche Verbindungsfehler an, die Nutzer dazu verleiten sollen, schädliche PowerShell-Befehle auszuführen, wodurch das Firmennetzwerk infiziert wird. Wie Sie sich vor dieser neuen Bedrohung schützen können, erfahren Sie hier.

Neue Cyberbedrohung: Click-Fix

Cyberkriminelle entwickeln kontinuierlich neue Methoden, um Schwachstellen in Unternehmenssystemen auszunutzen. Insbesondere durch Phishing, Social Engineering oder Malware-Angriffe finden Angreifer Wege, an sensible Daten zu gelangen. Und Unternehmen geraten immer mehr unter Druck.

Die rasanten Fortschritte im Bereich der Künstlichen Intelligenz (KI) verschärfen die Lage zusätzlich, da auch Kriminelle für Angriffe KI-Tools nutzen. Der Schlüssel zum Schutz vor solchen Bedrohungen liegt in der Aufklärung über aktuelle Angriffstechniken sowie Schulungen zur Sensibilisierung der Mitarbeiter.

Nur wer über die aktuellen Bedrohungen informiert ist, kann rechtzeitig Schutzmaßnahmen ergreifen, um nicht selbst zum Ziel zu werden. Deshalb ist es für Unternehmen entscheidend, die Entwicklungen im Bereich Cyberkriminalität ständig zu beobachten. Eine der neuesten Angriffstaktiken, die derzeit verstärkt Aufmerksamkeit erregt, sind die sogenannten Click-Fix-Angriffe.

Die diesen Click-Fix-Angriffe kommen per E-Mail zum Nutzer. Bild: Pexels/ Taryn Elliott

Was sind Click-Fix-Angriffe?

Click-Fix-Angriffe sind relativ neue Cyberbedrohungen, die erstmals im Mai 2023 auftraten. Click-Fix nutzt Social-Engineering-Taktiken, indem der Angreifer (die Gruppe TA571) gefälschte Benachrichtigungen und Fehlerwarnungen sendet. Sie sollen den Nutzer dazu bringen, schädliche Codes manuell auszuführen. Diese Methode ist besonders gefährlich, da sie direkt auf die Interaktion des Nutzers abzielt.

Oft handelt es sich um vermeintliche Systemfehler, wie zum Beispiel Probleme mit Google Chrome, Microsoft Word oder OneDrive. Vorgetäuscht wird beispielsweise, dass ein technisches Problem – beispielsweise bei Google Meet – behoben werden muss. Dafür müssen die Opfer lediglich einen Code in ihre Zwischenablage kopieren und dann in der Windows-Eingabeaufforderung oder über PowerShell ausführen. Ein simpler Klick reicht also, um Malware zu installieren, die es den Angreifern ermöglicht, sensible Informationen zu stehlen oder das System fernzusteuern.

Ablauf einer Click-Fix-Attacke

Die neueste Variante der Click-Fix-Kampagne nutzt gefälschte Google-Meet-Seiten als Köder. Google Meet ist besonders in Unternehmen beliebt, was es zu einem attraktiven Ziel für Angreifer macht. Der Angriff verläuft typischerweise in folgenden Schritten:

1. Die Angreifer erstellen E-Mails, die scheinbar von vertrauenswürdigen Absendern stammen und als Konferenzeinladungen zu Google Meet getarnt sind.
2. Die E-Mails enthalten Links, die echten Google Meet-Links täuschend ähnlich sehen.
3. Ein Klick auf den Link führt den Nutzer auf auf eine gefälschte Google-Meet-Seite.
4. Diese gefälschte Seite zeigt ein Verbindungsproblem an, beispielsweise ein Mikrofon- oder Headset-Fehler.
5. Die Seite fordert den Nutzer auf, einen Code zur Behebung des Problems auszuführen.
6. Nach der Ausführung des Codes wird Malware installiert, oft Infostealer-Malware, die Passwörter oder Zahlungsinformationen stiehlt.

Besonders perfide ist, dass die Angreifer vertrauenswürdige Plattformen wie Google Meet imitieren, um den Opfern ein Gefühl von Sicherheit zu vermitteln. Bislang bekannte URLs, die Nutzer erhalten und den originalen Google-Meet-Links sehr ähnlich sehen sind:

• meet[.]google[.]us-join[.]com
• meet[.]google[.]web-join[.]com
• meet[.]googie[.]com-join[.]us
• meet[.]google[.]cdm-join[.]us

Durch das Nachahmen von Google Meet und anderen bekannten Plattformen wie Zoom oder Web3-Browsern gewinnen die Angreifer das Vertrauen der Opfer. Der Schritt bis zum schnellen Klick auf den Code ist dann kein großer mehr!

Vorsichtig sein heißt es, wenn solche Fenster in Google Meet aufpoppen. Hier droht Malware. Bild: Bleepingcomputer

Die große Gefahr der Click-Fix-Angriffe

Click-Fix-Angriffe stellen eine große Bedrohung dar, weil die Angriffe so raffiniert sind und dem Nutzer ein schnelle Lösung eines technischen Problems suggerieren. Click-Fix kombiniert also Täuschung und technische Manipulation. Sicherheitsexperten waren eindringlich und nennen drei Gründe, warum diese Angriffe besonders gefährlich sind:

1. Social-Engineering-Techniken: Angreifer nutzen das Vertrauen in bekannte und viel genutzte Plattformen wie Google Meet. Die Opfer schöpfen keinen Verdacht und führen die Anweisungen aus.
2. Skripteingabe über PowerShell oder macOS-Terminals: Die Angreifer verwenden mächtige Skripting-Tools, um direkt auf das System zuzugreifen und Malware zu installieren.
3. Infostealer-Malware: Diese Art der Malware stiehlt sensible Daten wie Passwörter und Kreditkarteninformationen. Es besteht die Gefahr eines Identitätsdiebstahls und finanzieller Verluste für die Opfer. Infostealer gibt es bereits als Malware-as-a-Service.

Die Schäden, die Click-Fix-Attacken hervorrufen, sind gravierend. Sie reichen von Datenverlust bis hin zu massiven Sicherheitsverletzungen.

Schutz vor Click-Fix

Um sich vor diesen Angriffen zu schützen, sollten Unternehmen und Nutzer folgende Maßnahmen ergreifen:

• Informieren Sie Ihre Mitarbeiter: Regelmäßige Schulungen befähigen Ihre Mitarbeiter, verdächtige E-Mails und Links zu erkennen. Taucht eine aktuelle Bedrohung reicht auch eine erste Info über ein internes Kommunikationstool.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Diese zusätzliche Sicherheitsebene schützt Konten besser vor unbefugtem Zugriff und sollte Standard für jeden sein.
• Aktualisieren Sie Ihre Systeme regelmäßig: Betriebssysteme und Software sollten stets auf dem neuesten Stand sein, um vor Malware-Angriffen geschützt zu sein.
• Nutzen Sie Anti-Malware-Programme: Achten Sie dabei auch darauf, aktuelle Versionen zu verwenden. Antivirenprogramme erkennen und blockieren verdächtige Aktivitäten frühzeitig.
• Beschränken Sie die Zugriffsrechte: Sorgen Sie dafür, dass Mitarbeiter nur auf die Systeme und Daten zugreifen können, die für ihre Arbeit notwendig sind. Stichwort: Zero Trust oder Continuous Adaptive Trust. Beides reduziert das Risiko, dass Malware sich ungehindert im Netzwerk ausbreiten kann.
• Führen Sie Sicherheitsrichtlinien und Protokolle ein: Legen Sie klare Sicherheitsrichtlinien für den Umgang mit verdächtigen E-Mails und Dateien fest und setzen Sie diese um. Unternehmen sollten zudem ihre Netzwerksicherheit regelmäßig durch Audits überprüfen, um potenzielle Schwachstellen frühzeitig zu erkennen.

Diese Maßnahmen helfen Unternehmen, das Risiko einer Click-Fix-Attacke zu senken und die Sicherheit ihrer Systeme und Daten zu stärken. Präventives Handeln ist dabei entscheidend, um frühzeitig auf potenzielle Bedrohungen zu reagieren und Schäden zu vermeiden

Betreibe sollten niemals an Ihrer IT-Sicherheit sparen – dazu gehören auch Schulungen der Mitarbeiter. Bild: Pexels/Jack Sparrow

PC-SPEZIALIST hilft bei der Cyberabwehr

Viele Unternehmen fühlen sich angesichts der zunehmenden Bedrohungen, wie den neuartigen Click-Fix-Angriffen, mit der Sicherheit der Firmen-IT überfordert. IT-Dienstleister, wie die Experten von PC-SPEZIALIST, bieten wertvolle Unterstützung mit umfassenden Lösungen, um die IT-Infrastruktur effektiv abzusichern.

Die Fachleute analysieren bestehende IT-Umgebungen auf Schwachstellen, implementieren passgenaue Sicherheitslösungen und überwachen Systeme proaktiv, um Bedrohungen frühzeitig zu erkennen. Ein weiterer wichtiger IT-Service ist die regelmäßige Datensicherung durch Backups, sodass im Ernstfall schnell reagiert werden kann, ohne dass wichtige Daten verloren gehen.

PC-SPEZIALIST unterstützt Sie dabei, Ihre IT-Sicherheit zu stärken. Kontaktieren Sie uns für einen umfassenden Sicherheitscheck oder individuelle IT-Lösungen.

_______________________________________________

Quellen: Bleepingcomputer, Chip, Pexels/KATRIN BOLOVTSOVA (Headerbild)