Die Malware Qakbot flog längere Zeit unter dem Radar – jetzt haben IT-Forscher neue Varianten des Trojaners aufgespürt. Opfer finden sie derzeit über gefälschte "Clickfix Captchas". Vor denen hat jüngst auch das Bundesamt für Sicherheit in der Informationstechnik gewarnt.
Ende 2023 wurde zuletzt eine Phishing-Kampagne bekannt, bei der Qakbot-Malware verteilt und somit der Wiederaufbau des Botnetzes versucht wurde. Jetzt sind IT-Sicherheitsforscher von Darkatlas erneut auf den Schädling gestoßen. Der wird nun mit sogenannten Fake-Captchas verteilt.
Bei der Fake-Captcha-Masche machen sich Kriminelle zunutze, dass Internetnutzerinnen und -nutzer allenthalben zum Lösen sogenannter Captchas aufgefordert werden. Damit sollen sie beweisen, dass sie menschlich und nicht etwa bösartige Skripte sind ("I am not a robot").
(Bild: heise online / dmk)
Der Klick bewirkt Zweierlei: Zum einen landet ein bösartiger Befehl in der Zwischenablage. Der ruft Windows Powershell auf und weist den mächtigen Kommandozeileninterpreter an, ein Skript von einer Webseite herunterzuladen und auszuführen. Zum anderen schaltet der Klick eine Grafik weiter.
(Bild: heise online / dmk)
Darauf findet sich eine Anleitung, wie die Befehlsausführung von Windows aufgerufen und der Befehl aus der Zwischenablage eingefügt wird. Zur Ablenkung bezeichnen die Täter das aufpoppende Fenster als "Verifikations-Fenster". Und am Ende müssten die Opfer noch die Eingabetaste drücken – danach ist jedoch "Game Over" und die Malware wird installiert und aktiviert.
Darkatlas erörtert den Infektionsprozess noch detaillierter. Der Befehl, der in die Zwischenablage kopiert wird, endet mit einer Pipe an "iex", wodurch Powershell die empfangene Zeichenkette als Befehl interpretiert (iex=Invoke Expression). Der Großteil des Malware-Skripts ist kodiert, ein paar Klartext-Befehle öffnen jedoch ein Fenster, das den Titel "Information" trägt und "Verification complete!" anzeigt, um weiterhin authentisch zu wirken.
Das Skript lädt eine ZIP-Datei herunter, speichert sie ab, extrahiert sie schließlich und führt am Ende ihre Inhalte aus. Ganz gleich, wie der Dateiname in der URL in dem Skript zum Herunterladen lautet, liefert der Server eine Malware-ZIP-Datei aus. Durch die Verwendung beliebiger URLs wird auch hier die Erkennung und Blockade erschwert. Darkatlas hat ein Sample mit Virustotal geprüft, die Erkennungsrate geht gegen null. Hinweise auf Infektionen (Indicators of Compromise, IOCs) liefert Darkatlas jedoch nicht. Die konkrete Malware-Domain lautet jedoch duolingos[.]com.
Das BSI warnte Anfang des Monats im sozialen Netzwerk Mastodon vor solchen Fake-Captchas. Im Interview mit heise online hat der Mitgründer von "Friendly Captcha" zudem die Masche erörtert.