Malware-as-a-Service
Malware-Kit Venom Stealer hebt ClickFix-Angriffe auf ein neues Niveau
Malware-as-a-Service erleichtert automatisierte ClickFix-Angriffe erheblich
Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4
Sicherheitsanalysten von BlackFog haben kürzlich in einem Blogbeitrag die Entdeckung eines neuen, hochentwickelten Malware-Kits namens „Venom Stealer“ bekannt gemacht. Dabei handelt es sich um eine stark professionalisierte Malware-as-a-Service (MaaS)-Plattform, die speziell für automatisierte ClickFix-Angriffe entwickelt wurde. Der entscheidende Vorteil gegenüber herkömmlicher ClickFix-Malware liegt in der initialen Infektionsmethode. Venom Stealer stellt vier äußerst überzeugende Angriffsvorlagen für die Betriebssysteme Windows und macOS bereit:
- eine gefälschte Cloudflare-CAPTCHA-Prüfung
- eine vermeintlich dringende Aufforderung zu einem Betriebssystem-Update
- eine alarmierende SSL-Zertifikatsfehlermeldung
- eine manipulierte Webseite zur Installation einer angeblich fehlenden Schriftart
Alle Varianten verfolgen denselben Ansatz: Das Opfer wird durch geschickte Social-Engineering-Methoden dazu gebracht, einen bereitgestellten Befehl in die Zwischenablage zu kopieren, einzufügen und auszuführen – unter Windows im „Ausführen“-Dialog, unter macOS im Terminal.
Da die Ausführung durch den Nutzer selbst erfolgt, umgehen diese Angriffe viele gängige Sicherheitsmechanismen. Für Antivirenprogramme und Endpoint Detection and Response (EDR)-Systeme erscheint der Vorgang als legitime, vom Anwender initiierte Aktion, wodurch klassische Erkennungsmechanismen häufig wirkungslos bleiben.
Nach der Aktivierung der Schadsoftware beginnt die eigentliche Kompromittierung. Venom Stealer durchsucht das System umfassend und analysiert insbesondere alle Chromium- und Firefox-basierten Browser. Dabei extrahiert die Malware systematisch gespeicherte Zugangsdaten, aktive Sitzungs-Cookies, Browserverläufe sowie Autofill-Daten aus sämtlichen Nutzerprofilen. Zusätzlich identifiziert sie vorhandene Kryptowährungs-Wallets und erstellt detaillierte System-Fingerabdrücke sowie Inventarlisten installierter Browser-Erweiterungen. Auf diese Weise erhalten Angreifer ein vollständiges Profil ihres Opfers.
In der zweiten Angriffsphase werden gefundene Wallet-Daten unmittelbar an eine spezialisierte Cracking-Engine übermittelt. Gelingt die Kompromittierung, sorgt eine automatisierte Transfer-Engine dafür, dass die Vermögenswerte über mehrere Blockchain-Netzwerke hinweg abgezogen werden. Parallel dazu durchsucht ein „File Password and Seed Finder“ das gesamte Dateisystem gezielt nach lokal gespeicherten Seed-Phrasen.
Ein weiteres zentrales Merkmal von Venom Stealer ist seine ausgeprägte Persistenz. Auch nach der initialen Infektion bleibt die Malware aktiv und überwacht kontinuierlich Login-Daten, insbesondere in Google Chrome. Neu eingegebene oder gespeicherte Zugangsdaten werden in Echtzeit abgefangen. Selbst wenn Betroffene ihre Passwörter ändern, bleibt das Risiko bestehen – das Zeitfenster für Datenexfiltration und finanzielle Schäden wird erheblich verlängert.
Um das Risiko durch ClickFix-Malware wie Venom Stealer zu minimieren, sollten Unternehmen ihre Maßnahmen zur Cybersicherheit weiter intensivieren – insbesondere im Bereich der Mitarbeiterschulung. Denn trotz aller technologischen Fortschritte bleibt der Faktor Mensch oft das entscheidende Element. Wird ein Angriff frühzeitig erkannt, können Gegenmaßnahmen eingeleitet und Vorfälle gemeldet werden.
Am effektivsten lässt sich das Sicherheitsbewusstsein durch den Einsatz moderner Human-Risk-Management-Systeme stärken. Diese ermöglichen personalisierte und kontinuierliche Schulungen sowie realitätsnahe Phishing-Simulationen . Ergänzend setzen moderne Anti-Phishing-Technologien auf die Kombination von Künstlicher Intelligenz und Crowdsourcing, um auch bislang unbekannte Zero-Day-Bedrohungen frühzeitig zu erkennen und abzuwehren. Unternehmen, die auf solche ganzheitlichen Ansätze setzen, können ihre Risikolage deutlich verbessern – und ihre Mitarbeitenden zu einer zentralen Verteidigungslinie gegen Cyberbedrohungen machen.
