Inhalt
Der in diesem Artikel beschriebene Vorfall wurde vom SECUINFRA Cyber Detection & Response Center (CDRC) im Rahmen eines MDR-Alarm entdeckt. Das Falcon-Team lieferte relevante Erkenntnisse über die Malware für die Bearbeitung und Eindämmung. Dieser Fall ist ein gutes Beispiel für eine komplexe Angriffskette im „Clickfix”-Stil mit steganografischen Elementen.
Als ursprünglicher Infektionsvektor wurde eine Website bzw. ein Shop identifiziert, der auf Grillanleitungen und -zubehör spezialisiert ist und den der Benutzer aufsuchte. Wir konnten zwar nur einen niedrig aufgelösten Screenshot der Seite wiederherstellen (der Clickfix-Köder wurde kurz nach der ersten Entdeckung entfernt, wahrscheinlich von den Angreifern selbst), aber wir können bestätigen, dass es sich tatsächlich um eine Clickfix-Eingabeaufforderung handelte, die die erste Stufe des Angriffs einleitete. Die Website war auf einem WordPress Content Management System mit einem veralteten WooCommerce-Plugin aufgebaut, das wir als ursprünglichen Zugangsvektor des Angreifers vermuten. Es gelang ihnen, den Inhalt der Website zu verändern und die Clickfix-Eingabeaufforderung sowie unsichtbare Links für SEO-bezogene Kampagnen einzufügen. Vor der Veröffentlichung dieses Artikels haben wir den Eigentümer und Verwalter dieser Website über die Kompromittierung informiert, der die Website schnell wieder in einen sauberen Zustand versetzt hat.
Unten sehen Sie die Powershell-Befehlszeile, die als Teil des Clickfix-Schemas ausgeführt wurde. Ein WScript-Payload wird von einem entfernten System heruntergeladen, auf der Festplatte gespeichert und ausgeführt.
Das heruntergeladene Skript enthält die darauf folgende Angriffsstufe, das an eine Variable angehängt und durch einen eingefügten wiederkehrenden String leicht obfuskiert ist. Die Funktion „mysteriousProcess“ (von den Angreifern treffend benannt) ist offensichtlich „toter Code“ und für die Entschlüsselung der Nutzdaten nicht relevant. In dem Teil des Skripts auf der rechten Seite wird die wiederkehrende Zeichenfolge aus der Variable entfernt und der darin enthaltene Powershell-Befehl wird über einen neuen Prozess ausgeführt, der über die Windows Management Instrumentation (WMI) gestartet wird. Interessanterweise hat der Bedrohungsakteur einen Kommentar hinter der Eigenschaft ShowWindow hinterlassen, was aus dem Portugiesischen übersetzt „verstecktes Fenster“ bedeutet.
Der nächste Powershell-Schritt dient dazu, ein Bild von einem der beiden Google Firebase-Links abzurufen, den Base64-Inhalt zu dekodieren und ihn über den System.Reflection.Assembly-Mechanismus zu laden. Der .NET-Loader empfängt dann eine umgekehrte Github-URL, die wahrscheinlich eine zusätzliche Nutzlast enthält (mehr dazu später).
Unten sehen Sie links das von Google Firebase heruntergeladene Bild und rechts dessen Inhalt, der in einem Hex-Editor angezeigt wird. Wie im obigen Powershell-Code definiert, können wir in der Datei nach der Markierung BASE64_START suchen. Das geübte Auge erkennt anhand des Anfangs der Base64-kodierten Nutzlast („TVqQA…“) schnell, dass es sich wie erwartet um eine Windows-PE-Datei handelt.
Nachdem wir die Nutzlast aus dem Bild extrahiert und dekodiert haben, können wir bei näherer Betrachtung feststellen, dass es sich um eine ausführbare .NET-Datei handelt, die teilweise mit SmartAssembly verschleiert wurde, aber die allgemeine Funktionalität des Programms ist dennoch leicht nachvollziehbar. Genau dieser .NET-Loader wurde auch in anderen Angriffsketten entdeckt, z.B. per E-Mail, wie von Malware-Traffic-Analysis.net Anfang Januar 2026 dokumentiert.
In Abbildung 7 sehen Sie den Teil des Codes, an den das Powershell-Skript die Parameter zusammen mit der Github-Nutzdaten-URL übergibt. Nachdem der Payload heruntergeladen und dekodiert wurde, wird er über die Funktion „Inject“ ausgeführt, so dass er nicht auf der Festplatte gespeichert werden muss. Abhängig von den übergebenen Parametern ist der Loader auch in der Lage, eine grundlegende Persistenz über den Startmenü-Startordner herzustellen.
Wie bereits bei der Untersuchung der Dekodierungslogik erwartet, können wir feststellen, dass die auf Github bereitgestellte Nutzlast Base64-kodiert und umgekehrt ist. Die Dekodierung ergibt die endgültige Nutzlast, eine mit MinGW kompilierte Windows PE-Datei.
Für die Zwecke dieses Artikels werden wir die endgültige Nutzlast nicht im Detail analysieren, da sie nicht verschleiert ist und der größte Teil ihrer Logik leicht als Infostealer-Malware zu erkennen ist, die anscheinend intern als „Evelyn“ bezeichnet wird. Sie wurde bereits von Forscherkollegen bei TrendMicro analysiert, als sie über eine bösartige Visual Studio Code-Erweiterung im gleichen Zeitraum wie dieser Vorfall verbreitet wurde. Wir wollten nur darauf hinweisen, dass dieser Stealer in der Lage ist, Informationen über Kryptowährungen, Browser-Inhalte, Messenger-Sitzungen (z.B. Whatsapp, Telegram) und Anmeldeinformationen für WiFi-Netzwerke sowie VPN- und FTP-Dienste auszuspionieren. Die Daten werden über HTTP und SMTP exfiltriert. Sie finden die C2-Server unten.
Indicators of Compromise
Netzwerkbasierte Indikatoren
185.113.8[.]55
5.181.157[.]172
wxqdcakvuv[.]comHost-basierte Indikatoren
cb7180e324435e4c9126e573b3a1b3e3585af4325abbaa27c6445cdc24cc8388 - asd1.js
573507ffbef1dcbc354c0ae29c71051c8790b4bbd06d71ee6d68078862cf0ab4 - image1.jpg
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 - .NET Loader
b0ff2921bbc16f5446c5bb808fc86f0097e98feee79ed175e01ec4a17c0158c0 - Evelyn InfostealerVielen Dank, dass Sie unseren Artikel bis zum Ende gelesen haben. Wenn Ihnen unsere Analysen gefallen und Sie über unsere Veröffentlichungen auf dem Laufenden bleiben möchten, sollten Sie uns auf Linkedin folgen! Bleiben Sie sicher 🙂
