{"id":63899,"date":"2026-02-06T14:39:02","date_gmt":"2026-02-06T13:39:02","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=63899"},"modified":"2026-02-06T14:40:19","modified_gmt":"2026-02-06T13:40:19","slug":"clickfix-und-infostealer-frisch-vom-grill","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/clickfix-und-infostealer-frisch-vom-grill\/","title":{"rendered":"Clickfix und Infostealer frisch vom Grill"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/clickfix-und-infostealer-frisch-vom-grill\/#Indicators_of_Compromise\" >Indicators of Compromise<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Der in diesem Artikel beschriebene Vorfall wurde vom SECUINFRA Cyber Detection &amp; Response Center (CDRC) im Rahmen eines MDR-Alarm entdeckt. Das Falcon-Team lieferte relevante Erkenntnisse \u00fcber die Malware f\u00fcr die Bearbeitung und Eind\u00e4mmung. Dieser Fall ist ein gutes Beispiel f\u00fcr eine komplexe Angriffskette im \u201eClickfix\u201d-Stil mit steganografischen Elementen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Als urspr\u00fcnglicher Infektionsvektor wurde eine Website bzw. ein Shop identifiziert, der auf Grillanleitungen und -zubeh\u00f6r spezialisiert ist und den der Benutzer aufsuchte. Wir konnten zwar nur einen niedrig aufgel\u00f6sten Screenshot der Seite wiederherstellen (der Clickfix-K\u00f6der wurde kurz nach der ersten Entdeckung entfernt, wahrscheinlich von den Angreifern selbst), aber wir k\u00f6nnen best\u00e4tigen, dass es sich tats\u00e4chlich um eine Clickfix-Eingabeaufforderung handelte, die die erste Stufe des Angriffs einleitete. Die Website war auf einem WordPress Content Management System mit einem veralteten WooCommerce-Plugin aufgebaut, das wir als urspr\u00fcnglichen Zugangsvektor des Angreifers vermuten. Es gelang ihnen, den Inhalt der Website zu ver\u00e4ndern und die Clickfix-Eingabeaufforderung sowie unsichtbare Links f\u00fcr SEO-bezogene Kampagnen einzuf\u00fcgen. Vor der Ver\u00f6ffentlichung dieses Artikels haben wir den Eigent\u00fcmer und Verwalter dieser Website \u00fcber die Kompromittierung informiert, der die Website schnell wieder in einen sauberen Zustand versetzt hat.    <\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"800\" height=\"433\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-web.jpeg\" alt=\"\" class=\"wp-image-63888\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-web.jpeg 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-web-768x416.jpeg 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption class=\"wp-element-caption\">Abbildung 1: Die kompromittierte Website mit dem Clickfix-K\u00f6der<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Unten sehen Sie die Powershell-Befehlszeile, die als Teil des Clickfix-Schemas ausgef\u00fchrt wurde. Ein WScript-Payload wird von einem entfernten System heruntergeladen, auf der Festplatte gespeichert und ausgef\u00fchrt. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"325\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-commandline-1600x325.png\" alt=\"\" class=\"wp-image-63890\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-commandline-1600x325.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-commandline-800x163.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-commandline-768x156.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-commandline-1536x312.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-commandline.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 2: Stufe 1 &#8211; Der Powershell-Befehl, der \u00fcber den Clickfix-K\u00f6der geliefert wird<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Das heruntergeladene Skript enth\u00e4lt die darauf folgende Angriffsstufe, das an eine Variable angeh\u00e4ngt und durch einen eingef\u00fcgten wiederkehrenden String leicht obfuskiert ist. Die Funktion &#8222;mysteriousProcess&#8220; (von den Angreifern treffend benannt) ist offensichtlich &#8222;toter Code&#8220; und f\u00fcr die Entschl\u00fcsselung der Nutzdaten nicht relevant. In dem Teil des Skripts auf der rechten Seite wird die wiederkehrende Zeichenfolge aus der Variable entfernt und der darin enthaltene Powershell-Befehl wird \u00fcber einen neuen Prozess ausgef\u00fchrt, der \u00fcber die Windows Management Instrumentation (WMI) gestartet wird. Interessanterweise hat der Bedrohungsakteur einen Kommentar hinter der Eigenschaft ShowWindow hinterlassen, was aus dem Portugiesischen \u00fcbersetzt &#8222;verstecktes Fenster&#8220; bedeutet.   <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"490\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-wscript-deobf-1600x490.png\" alt=\"\" class=\"wp-image-63891\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-wscript-deobf-1600x490.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-wscript-deobf-800x245.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-wscript-deobf-768x235.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-wscript-deobf-1536x470.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-wscript-deobf-2048x627.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 3: Stufe 2 &#8211; Inhalt von asd1.js (a.js wird auf die Festplatte geschrieben)<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der n\u00e4chste Powershell-Schritt dient dazu, ein Bild von einem der beiden Google Firebase-Links abzurufen, den Base64-Inhalt zu dekodieren und ihn \u00fcber den System.Reflection.Assembly-Mechanismus zu laden. Der .NET-Loader empf\u00e4ngt dann eine umgekehrte Github-URL, die wahrscheinlich eine zus\u00e4tzliche Nutzlast enth\u00e4lt (mehr dazu sp\u00e4ter).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"953\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-powershell-1600x953.png\" alt=\"\" class=\"wp-image-63892\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-powershell-1600x953.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-powershell-800x477.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-powershell-768x458.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-powershell-1536x915.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-powershell-2048x1220.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 4: Stufe 3 &#8211; Entschl\u00fcsseltes Powershell-Skript<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Unten sehen Sie links das von Google Firebase heruntergeladene Bild und rechts dessen Inhalt, der in einem Hex-Editor angezeigt wird. Wie im obigen Powershell-Code definiert, k\u00f6nnen wir in der Datei nach der Markierung BASE64_START suchen. Das ge\u00fcbte Auge erkennt anhand des Anfangs der Base64-kodierten Nutzlast (\u201eTVqQA\u2026\u201c) schnell, dass es sich wie erwartet um eine Windows-PE-Datei handelt.  <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"620\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-stego-1600x620.png\" alt=\"\" class=\"wp-image-63893\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-stego-1600x620.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-stego-800x310.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-stego-768x297.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-stego-1536x595.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-stego-2048x793.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 5: image1.jpg mit der steganografischen Nutzlast (Base64 kodierte PE-Datei)<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Nachdem wir die Nutzlast aus dem Bild extrahiert und dekodiert haben, k\u00f6nnen wir bei n\u00e4herer Betrachtung feststellen, dass es sich um eine ausf\u00fchrbare .NET-Datei handelt, die teilweise mit SmartAssembly verschleiert wurde, aber die allgemeine Funktionalit\u00e4t des Programms ist dennoch leicht nachvollziehbar. Genau dieser .NET-Loader wurde auch in anderen Angriffsketten entdeckt, z.B. per E-Mail, wie von <a  href=\"https:\/\/www.malware-traffic-analysis.net\/2026\/01\/09\/index.html\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Malware-Traffic-Analysis.net<\/a> Anfang Januar 2026 dokumentiert.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"746\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper1-1600x746.png\" alt=\"\" class=\"wp-image-63894\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper1-1600x746.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper1-800x373.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper1-768x358.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper1-1536x716.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper1-2048x955.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 6: .NET-basierter Loader, der mit SmartAssembly verschleiert wurde<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">In Abbildung 7 sehen Sie den Teil des Codes, an den das Powershell-Skript die Parameter zusammen mit der Github-Nutzdaten-URL \u00fcbergibt. Nachdem der Payload heruntergeladen und dekodiert wurde, wird er \u00fcber die Funktion &#8222;Inject&#8220; ausgef\u00fchrt, so dass er nicht auf der Festplatte gespeichert werden muss. Abh\u00e4ngig von den \u00fcbergebenen Parametern ist der Loader auch in der Lage, eine grundlegende Persistenz \u00fcber den Startmen\u00fc-Startordner herzustellen.  <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"531\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper2-1600x531.png\" alt=\"\" class=\"wp-image-63895\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper2-1600x531.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper2-800x265.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper2-768x255.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper2-1536x510.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-dropper2.png 1688w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 7: .NET-basierter Loader f\u00fchrt die Nutzdaten von Github aus<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Wie bereits bei der Untersuchung der Dekodierungslogik erwartet, k\u00f6nnen wir feststellen, dass die auf Github bereitgestellte Nutzlast Base64-kodiert und umgekehrt ist. Die Dekodierung ergibt die endg\u00fcltige Nutzlast, eine mit MinGW kompilierte Windows PE-Datei. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"209\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-github-1600x209.png\" alt=\"\" class=\"wp-image-63896\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-github-1600x209.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-github-800x105.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-github-768x100.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-github-1536x201.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-github.png 1744w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 8: Auf Github gehostete Nutzdaten (Base64-kodiert und umgedreht)<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Zwecke dieses Artikels werden wir die endg\u00fcltige Nutzlast nicht im Detail analysieren, da sie nicht verschleiert ist und der gr\u00f6\u00dfte Teil ihrer Logik leicht als Infostealer-Malware zu erkennen ist, die anscheinend intern als &#8222;Evelyn&#8220; bezeichnet wird. Sie wurde bereits von Forscherkollegen bei <a  href=\"https:\/\/www.trendmicro.com\/de_de\/research\/26\/a\/analysis-of-the-evelyn-stealer-campaign.html\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >TrendMicro<\/a> analysiert, als sie \u00fcber eine b\u00f6sartige Visual Studio Code-Erweiterung im gleichen Zeitraum wie dieser Vorfall verbreitet wurde. Wir wollten nur darauf hinweisen, dass dieser Stealer in der Lage ist, Informationen \u00fcber Kryptow\u00e4hrungen, Browser-Inhalte, Messenger-Sitzungen (z.B. Whatsapp, Telegram) und Anmeldeinformationen f\u00fcr WiFi-Netzwerke sowie VPN- und FTP-Dienste auszuspionieren. Die Daten werden \u00fcber HTTP und SMTP exfiltriert. Sie finden die C2-Server unten.   <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"532\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-strings-1600x532.png\" alt=\"\" class=\"wp-image-63897\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-strings-1600x532.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-strings-800x266.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-strings-768x255.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-strings-1536x511.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/stealer-strings-2048x681.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\">Abbildung 9: Signifikante Zeichenfolgen aus der Evelyn Infostealer-Bin\u00e4rdatei<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ember191\"><span class=\"ez-toc-section\" id=\"Indicators_of_Compromise\"><\/span>Indicators of Compromise<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ember192\">Netzwerkbasierte Indikatoren<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>185.113.8&#91;.]55\n5.181.157&#91;.]172\nwxqdcakvuv&#91;.]com<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ember193\">Host-basierte Indikatoren<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>cb7180e324435e4c9126e573b3a1b3e3585af4325abbaa27c6445cdc24cc8388 - asd1.js\n573507ffbef1dcbc354c0ae29c71051c8790b4bbd06d71ee6d68078862cf0ab4 - image1.jpg\ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 - .NET Loader\nb0ff2921bbc16f5446c5bb808fc86f0097e98feee79ed175e01ec4a17c0158c0 - Evelyn Infostealer<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\" id=\"ember194\">Vielen Dank, dass Sie unseren Artikel bis zum Ende gelesen haben. Wenn Ihnen unsere Analysen gefallen und Sie \u00fcber unsere Ver\u00f6ffentlichungen auf dem Laufenden bleiben m\u00f6chten, sollten Sie uns auf Linkedin folgen! Bleiben Sie sicher \ud83d\ude42  <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der in diesem Artikel beschriebene Vorfall wurde vom SECUINFRA Cyber Detection &#038; Response Center (CDRC) im Rahmen eines MDR-Alarm entdeckt. Das Falcon-Team lieferte relevante Erkenntnisse \u00fcber die Malware f\u00fcr die Bearbeitung und Eind\u00e4mmung. Dieser Fall ist ein gutes Beispiel f\u00fcr eine komplexe Angriffskette im \u201eClickfix\u201d-Stil mit steganografischen Elementen.  <\/p>\n","protected":false},"author":6,"featured_media":63889,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,66],"tags":[806,808,807,9,272],"dpc_coauthors":[],"class_list":["post-63899","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-techtalk","tag-analysis","tag-clickfix","tag-infostealer","tag-it-security","tag-malware-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/63899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=63899"}],"version-history":[{"count":3,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/63899\/revisions"}],"predecessor-version":[{"id":63909,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/63899\/revisions\/63909"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/63889"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=63899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=63899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=63899"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=63899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}