Sicherheitsforscher von Proofpoint haben eine Angriffstechnik identifiziert, die immer beliebter wird. Dabei setzen die Kriminellen auf Social Engineering. Opfer werden dann dazu gebracht, bösartigen PowerShell-Code auszuführen und Malware zu installieren.

Anfang März 2024 wurde diese Methode erstmals eingesetzt. Laut Proofpoint wurde sie auch bei ClearFake, einem bösartigen JavaScript-Framework, beobachtet. Die Opfer erhalten dabei eine Fehlermeldung, welche vorgibt, von einer vertrauenswürdigen Quelle wie dem Betriebssystem zu stammen. Die Meldung suggeriert ein Problem und liefert gleichzeitig eine angebliche Lösung in Form eines PowerShell-Befehls. Diesen soll das Opfer kopieren und ausführen.

Als ein getarnter Dialog des Chrome-Webbrowsers war die erste dieser Fehlermeldungen. Laut der Meldung sollte das Opfer auf eine Schaltfläche klicken, um ein PowerShell-Skript zu kopieren. Um das angebliche Problem zu beheben, waren zudem Anweisungen zum manuellen Ausführen des Skripts als Administrator enthalten. Hat das Opfer dies befolgt, führte er das PowerShell-Skript lediglich durch Einfügen in das PowerShell-Befehlszeilenfenster aus.

So können dann verschiedene Schadprogramme installiert werden. Da solche Bedrohungen schwer zu erkennen sind, stuft Proofpoint die Gefahr als ernst ein. Antiviren-Software und "Endpoint Detection and Response"-Programme haben außerdem Probleme, Inhalte der Zwischenablage zu überprüfen. Bei verdächtigen Aktivitäten in Unternehmen sollten diese umgehend der IT-Security gemeldet werden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE