ClickFix Attack ersetzt PowerShell durch Cmdkey und liefert Remote-Regsvr32-Payloads

Anstatt sich PowerShell zu verlass

Die Technik funktioniert, indem Benutzer durch Engineering dazu verleitet werden, einen bösartigen Befehl auszuführen.

In früheren Kampagnen nutzten Angreifer gefälschte CAPTCHA-Seiten, um Opfer zu überzeugen, Befehle in das Ausführen-Dialogfeld ügen und auszuführen, was typischerweise PowerShell aufruft, um eine Last zu abrufen und auszuführen.

Diese neueste Version verzichtet vollständig auf

Diese neueste Version verzichtet vollständig auf PowerShell, was es traditionellen Erkennungswerkzeugen erschwert, die Aktivität zu erkennen. Das Threat Research Team , angeführt , Kithu Shajil und Veena Sagar, identifizierte diese neue ClickFix-Variante und veröffentlichte seine Ergebnisse am 22.

April 2026. Die Forscher , dass die Kampagne eine kompakte Befehls-Kette verwendet, die Anmeldeinformationen speichert, eine entfernte DLL abruft und diese durch vertrauenswürdige Windows-Komponenten stumm ausführt.

Indem sie sich innerhalb legitimer Windows-Dienstprogramme bewegen, mischen die Angreifer ihre Aktivitäten in das normale Systemverhalten und machen die Erkennung erheblich schwieriger. Die Auswirkungen dieses Wandels sind für Organisationen , die sich auf verhaltensbasierte Erkennung verlassen.

Da der Angriff nur integrierte Windows-Tools

Da der Angriff nur integrierte Windows-Tools verwendet, auch bekannt als Living off the Land Binaries (LOLBins), lösen Sicherheitstools, die nach verdächtigen Software-Drops oder ungewöhnlichen Prozessen suchen, möglicherweise keine Warnungen aus.

Ein einzelner Befehl, der in das Windows-Ausführen-Dialogfeld eingegeben wird, reicht aus, um eine mehrstufige Angriffskette zu starten, die auf einer Maschine persistiert und sich mit der.

Dies macht die Bedrohung für ein breites Spektrum änglich, Mitarbeitern besorgniserregend macht, ist, wie wenig der Angreifer vom Opfer benötigt.

Das Einfügen eines vorbeladenen Befehls

Das Einfügen eines vorbeladenen Befehls und die Infektion beginnt. Der gesamte Prozess ist darauf ausgelegt, routinemäßig und glaubwürdig auszusehen, wobei Angreifer eine echte Cloudflare CAPTCHA-Seite imitieren, um das Vertrauen des Benutzers zu gewinnen, bevor sie den Angriff starten.

Im Infektionsmechanismus Der Angriff beginnt, wenn ein Benutzer auf eine Phishing-Seite gelangt, die ein CAPTCHA-Verifizierungsbild nachahmt. Die Seite weist den Benutzer an, das Ausführen-Dialogfeld + R zu öffnen, einen vorbeladenen Befehl einzufügen und Enter zu drücken.

Der beobachtete Befehl ruft cmd.exe auf und verknüpft zwei Hauptaktionen. Zusammenfassung der Angriffskette (Quelle – CyberProof) Zuerst speichert das Utility cmdkey Anmeldeinformationen für die entfernte IP-Adresse 151.245.195[.]142 unter dem Benutzernamen „guest“.

Zweitens lädt regsvr32 die Datei demo.dll

Zweitens lädt regsvr32 die Datei demo.dll stumm aus dem SMB-Freigabe des Angreifers über einen UNC-Pfad. Ein REM-Kommentar, der in den Befehl eingebettet ist, liest „I am not a robot“ vor, um die böswillige Absicht zu verschleiern und das Ganze wie einen legitimen Verifizierungsschritt aussehen zu lassen.

Etablierung der Persistenz und Ausführung der Second-Stage-Payload (Quelle – CyberProof) Sobald regsvr32 die DLL ausführt, löst ihr DllRegisterServer-Export einen versteckten CreateProcessA-Aufruf aus, der einen geplanten Task mit dem Namen „RunNotepadNow“ mithilfe des Windows Task Schedulers erstellt.

Die Task-Definition wird nicht auf der infizierten Maschine gespeichert. Stattdessen wird sie aus einer entfernten XML-Datei auf dem vom Angreifer kontrollierten Server gezogen, was bedeutet, dass die Angreifer ihre Second-Stage-Payload jederzeit aktualisieren können, ohne die anfängliche DLL neu bereitzustellen.

Dies verleiht der Kampagne eine langfristige

Dies verleiht der Kampagne eine langfristige Persistenz mit nur sehr wenigen Spuren auf dem Host. Böswillige Befehlsausführung über den Run-Dialog (Quelle – CyberProof) Sicherheitsteams sollten die Verwendung IP-Adressen überwachen und auf das Laden regsvr32 über UNC-Pfade achten.

Es sollten Warnungen für die Kette aus Befehlsausführung über cmd.exe eingerichtet werden, und die Aktivität des Aufgabenplaners, die auf entfernte XML-Dateien verweist, sollte genau überprüft werden. Der ausgehende SMB- und UNC-Zugriff sollte auf Netzwerkebene eingeschränkt oder eng überwacht werden.

Die Schulung der Benutzer ist ebenso wichtig, um Mitarbeitern zu helfen, ClickFix-artiges Engineering zu erkennen, bevor sie etwas einfügen oder ausführen.

Indicators of Compromise (IOCs):

Indicators of Compromise (IOCs):-

\\151[.]245.195.142\hi\demo.dll

\\151[.]245.195.142\hi\777.xml

SHA256: b2d9a99de44a7cd8faf396d0482268369d14a315edaf18a36fa273ffd5500108 Sie uns auf

SHA256: b2d9a99de44a7cd8faf396d0482268369d14a315edaf18a36fa273ffd5500108 Sie uns auf

Der Beitrag „ClickFix Attack Replaces PowerShell With Cmdkey and Remote Regsvr32 Payload Delivery“ erschien zuerst bei Cyber Security News.