In der digitalen Welt gibt es ständig neue Bedrohungen und Herausforderungen. IT-Sicherheitsforscher von Proofpoint haben nun eine alarmierende neue Angriffsmethode entdeckt, die auf Social Engineering und die Nutzung der Zwischenablage setzt. Dieser raffinierte Ansatz kann dazu führen, dass Cyberkriminelle schädlichen PowerShell-Code auf Rechnern von ahnungslosen Nutzern ausführen und Malware installieren.

Zwischenablage als Einfallstor

Die neu entdeckte Methode basiert auf einer Kombination von Social Engineering und dem Missbrauch der Zwischenablage. Angreifer manipulieren ihre Opfer so, dass diese bösartigen Code kopieren und ausführen. Diese Technik wurde erstmals im März 2024 vom Initial Access Broker „TA571“ beobachtet, der Zugänge zu Firmennetzen verkauft. Seither haben auch andere Bedrohungsakteure wie ClearFake diese Methode übernommen.

So funktioniert der Angriff

Die Opfer erhalten eine gefälschte Fehlermeldung, die vorgibt, von einer vertrauenswürdigen Quelle wie dem Betriebssystem oder dem Chrome-Webbrowser zu stammen. Diese Meldung suggeriert ein Problem und bietet eine scheinbare Lösung in Form eines PowerShell-Befehls. Das Opfer wird dazu aufgefordert, den Befehl zu kopieren und manuell auszuführen. Die Meldung enthält sogar detaillierte Anweisungen, wie das Skript als Administrator ausgeführt werden soll.

Gefährliche Folgen

Befolgt das Opfer die Anweisungen, wird das PowerShell-Skript in die Befehlszeile eingefügt und ausgeführt. Dies führt zur Installation verschiedenster Schadprogramme, darunter Malware-Loader wie Darkgate, Matanbuchus, das oft missbrauchte Fernwartungstool NetSupport oder diverse Infostealer. Diese Bedrohungen sind schwer zu erkennen, da sie geschickt die Schwachstelle der Zwischenablage ausnutzen. Antiviren-Software und „Endpoint Detection and Response“-Programme (EDR) haben oft Schwierigkeiten, die Inhalte der Zwischenablage zu überprüfen und rechtzeitig zu reagieren.

Was tun bei verdächtigen Aktivitäten?

Unternehmen und Nutzer sollten wachsam sein. Wenn verdächtige Aktivitäten bemerkt werden, ist es wichtig, diese umgehend der IT-Security zu melden. Eine schnelle Reaktion kann helfen, größeren Schaden zu verhindern. Zudem sollten IT-Abteilungen Schulungen und Sensibilisierungen zum Thema Social Engineering und sicherer Umgang mit der Zwischenablage durchführen.

Fazit

Die Entdeckung dieser neuen Angriffstechnik durch Proofpoint unterstreicht die Notwendigkeit, immer einen Schritt voraus zu sein und neue Sicherheitsstrategien zu entwickeln. Der Missbrauch der Zwischenablage ist ein Beispiel dafür, wie kreativ und gefährlich Cyberkriminelle vorgehen können. Es ist daher unerlässlich, Sicherheitsvorkehrungen zu überprüfen und kontinuierlich zu verbessern, um den Schutz vor solchen Bedrohungen zu gewährleisten.

Humorvoller Abschluss: Also, beim nächsten Mal, wenn eine Fehlermeldung euch ein „Lösungs-Skript“ präsentiert – Augen auf und Finger weg von der Zwischenablage!