Hacker nutzen gefälschte reCAPTCHA-Pop-ups, um Schadsoftware zu installieren und Kryptowährungen zu stehlen.

Die Cybersicherheitsgruppe eSentire hat aufgedeckt, dass gefälschte CAPTCHA-ähnliche Pop-ups verwendet werden, um Opfer durch Missbrauch einer Methode namens ClickFix dazu zu verleiten, die Malware Amatera Stealer und NETSupport RAT zum Sammeln vondenteinzusetzen.

Die Threat Response Unit (TRU) von eSentire tracseit November eine Zunahme von Kampagnen, die ClickFix missbrauchen, um sich Zugang zu Zielsystemen zu verschaffen. Laut TRU nutzen Angreifer diese Methode, um Opfer durch Social Engineering dazu zu bringen, über die Windows-Eingabeaufforderung manuell schädliche Befehle auszuführen. 

Nach ihrer Ausführung lösen diese Befehle eine Infektionskette aus, die mit dem Einsatz von Amatera Stealer und NetSupport RAT endet. Beides sind legitime Fernüberwachungstools, die von Cyberkriminellen für den unerlaubten Fernzugriff missbraucht wurden.

Die ClickFix-Kampagne nutzt reCAPTCHA, um Schadsoftware einzuschleusen.

Studie von eSentire veröffentlichten locken Hacker ihre Opfer mit gefälschten Webseiten und Pop-ups, die wie „Sicherheitsüberprüfungen“ aussehen, darunter betrügerische reCAPTCHA-Verifizierungsfelder und gefälschte Cloudflare Turnstile-Seiten. 

Die irreführenden Benutzeroberflächen fordern Nutzer auf, ein vermeintliches Problem zu „beheben“. Die Anweisungen verleiten sie dazu, schädliche Befehle auszuführen, ohne die Risiken zu erkennen. Nach Ausführung des ersten Befehls wird zunächst Amatera Stealer installiert, gefolgt von NetSupport Manager. Dieser ermöglicht es Hackern, den kompromittierten Rechner zu überwachen und zu steuern, als wären sie physisch anwesend.

Amatera Stealer ist keine völlig neue Bedrohung, sondern die neueste Weiterentwicklung von ACR Stealer, auch bekannt als AcridRain. Die Vorgängerversion tauchte 2024 erstmals als Malware-as-a-Service-Produkt in Hackerforen auf und wurde von mehreren Nutzern über Abonnementpakete verbreitet.

Der Verkauf von ACR wurde Mitte 2024 eingestellt, nachdem der Entwickler, online bekannt als SheldIO, den Quellcode der Malware verkauft hatte. Trotz der Verkaufsankündigung erklärte die Gruppe, die Entwicklung sei „nicht beendet“. Forscher gehen nun davon aus, dass Amatera der direkte Nachfolger von ACR ist, neu entwickelt mit erweiterten Funktionen und neuen Verschleierungstechniken.

Amatera, das im Juni von der Sicherheitsprüfungsfirma Proofpoint entdeckt wurde, ist im Abonnement ab 199 US-Dollar pro Monat bis 1499 US-Dollar pro Jahr erhältlich.

„Amatera bietet Angreifern umfangreiche Möglichkeiten zur Datenexfiltration, die auf Krypto-Wallets, Browser, Messaging-Anwendungen, FTP-Clients und E-Mail-Dienste abzielen. Es nutzt fortschrittliche Ausweichstrategien wie WoW64 SysCalls, um die von Sandboxes, Antivirenlösungen und EDR-Produkten verwendeten Benutzermodus-Hooking-Mechanismen zu umgehen“, so eSentire.

Die Malware ist in C++ geschrieben und kann auslesen gespeicherte Passwörter, Kartendaten, Browserverläufe und Dateien aus Browsern wie Chrome, Brave, Edge, Opera, Firefox und spezialisierten Plattformen wie Tor Browser und Thunderbird 

Mehrstufige Windows PowerShell-Loader verbergen Schadsoftware

Laut der Bedrohungsanalyse von eSentire basiert der Infektionsprozess von Amatera auf mehreren Ebenen verschleierter PowerShell-Befehle. 

Die Forscher von TRU beobachteten, wie in einer Phase nachfolgende Nutzdaten mithilfe einer XOR-Verknüpfung der Zeichenkette „AMSI_RESULT_NOT_DETECTED“ entschlüsselt wurden – ein Begriff, der mit der Anti-Malware-Scan-Schnittstelle von Microsoft in Verbindung steht. Der Entwickler des Loaders könnte diese Formulierung absichtlich gewählt haben, um die Forscher bei der dynamischen Analyse zu verwirren.

Amatera ist zwar die am häufigsten in diesen Kampagnen eingesetzte Schadsoftware, eSentire dokumentierte jedoch auch Fälle, in denen derselbe Loader zur Verbreitung anderer Infostealer wie Lumma und Vidar verwendet wurde. Bei einigen Samples fehlten die Konfigurationsparameter für die Ausführung mehrstufiger Loader; in diesen Fällen entschieden sich die Hacker stattdessen für die direkte Installation des NetSupport Managers.

eSentire und andere Sicherheitsfirmen haben E-Mail-Kampagnen dokumentiert, bei denen Visual Basic Script-Dateien als Rechnungen getarnt wurden. Beim Öffnen führten die Dateien Batch-Skripte aus, die PowerShell-Loader starteten und so XWorm einschleusten.

Andere Kampagnen nutzten kompromittierte Websites, die Besucher auf gefälschte Cloudflare-Verifizierungsseiten umleiteten, welche ClickFix-Aufforderungen imitierten. Diese Aktivitäten werden einer Operation zugeschrieben, die unter Namen wie SmartApeSG, HANEYMANEY und ZPHP bekannt ist und in deren finaler Payload jeweils NetSupport RAT verwendet.

Hacker hatten betrügerische Booking.com-Websites erstellt, die gefälschte CAPTCHA-Prüfungen enthielten, die Benutzer anwiesen, den Windows-Ausführen-Dialog zu öffnen und einen Befehl auszuführen, und die direkt ein Skript zum Stehlen vondentauf infizierten Systemen installierten.

Einige der Phishing-Kampagnen nutzen ein neues Phishing-Kit namens Cephas. Laut dem Cybersicherheitsunternehmen Barracuda verwendet Cephas eine hochentwickelte Verschleierungsmethode, die unsichtbare Zeichen in den Quellcode von Phishing-Seiten einfügt, welche für automatisierte Scanner schwer zu erkennen sind.

„Das Kit verschleiert seinen Code, indem es zufällige unsichtbare Zeichen im Quellcode erzeugt, die ihm helfen, Anti-Phishing-Scanner zu umgehen und zu verhindern, dass signaturbasierte YARA-Regeln die genauen Phishing-Methoden abgleichen“, schrieb in seiner Analyse vergangene Woche.