Auf den Punkt: Drei neue Malware-Loader (BabaDeda, Lorem Ipsum, Potemkin) verteilen sich über ClickFix-Social-Engineering und gehackte WordPress-Seiten, um Datenverlust, Ransomware und Fernkontrolle zu ermöglichen.
Angreifer nutzen die ClickFix-Methode mit gefälschten Browser-Fehlermeldungen, um Nutzer zur manuellen Ausführung von PowerShell-Befehlen zu bewegen. Dadurch werden drei neue Malware-Loader auf Windows-Systeme gebracht, die als Einfallstor für Backdoors, Infostealer und Ransomware dienen.
Sicherheitsforscher dokumentieren Kampagnen, die ClickFix-Lures einsetzen, um Schadsoftware zu verbreiten. Angreifer täuschen Browser-Fehlermeldungen oder Sicherheitswarnungen vor und verleiten Nutzer dazu, PowerShell-Befehle manuell auszuführen. Diese Befehle laden Loader nach, die als erste Infektionsstufe fungieren und weitere Malware entschlüsselt nachladen. Bislang wurden drei unterschiedliche Loader identifiziert: BabaDeda, Lorem Ipsum und Potemkin. Alle drei verwenden Techniken zur Umgehung von Sicherheitsmechanismen und verschlüsseln ihre Payloads erst unmittelbar vor der Ausführung, was forensische Analyse und Detektion durch Endpoint-Protection-Tools erschwert.
Der BabaDeda Loader kam bereits gegen Krypto- und Web3-Organisationen zum Einsatz, zielt nun aber verstärkt auf Bildungs- und Finanzorganisationen. Die Malware überprüft das System und weigert sich, auf Computern in Russland oder Belarus zu laufen. Nach der Aktivierung injiziert der Loader Schadfunktionen in legitime Windows-Prozesse wie svchost.exe. Die verteilten Backdoors und Infostealer stehlen Browserdaten, Cookies und Anmeldeinformationen, erstellen Screenshots und exfiltrieren Dateien an Steuerungsserver. Morforscher beschreiben das überarbeitete Framework als „weitaus leistungsfähigeren Loader, der auf Tarnung, Ausweichen und Flexibilität bei der Nutzlast ausgelegt ist“.
Ein zweiter Angreifer, bekannt als Vanilla Tempest, nutzt gehackte WordPress-Webseiten als Verteilungspunkt für den Lorem Ipsum Loader. Die Opfer werden über ClickFix-Lures weitergeleitet, die sich als Sicherheitsupdates für Microsoft Edge ausgeben. Nach der Infektion wird eine veraltete Node.js-Version genutzt, um JavaScript-basierte Dropper auszuführen, die einen Backdoor nachladen. Diese Kette mündet häufig in der Bereitstellung von Ransomware wie Rhysida. Sicherheitsforensiker ordnen den Wechsel auf kompromittierte WordPress-Seiten als Strategie ein, die den potenziellen Opferkreis erheblich vergrößert.
Eine dritte Kampagne setzt auf den Potemkin Loader, der mittels HTA-Dateien (HTML Application) im MSI-Paketformat eingeleitet wird. Potemkin nutzt einen Domain-Generierungs-Algorithmus für die Kommunikation mit Steuerungsservern und fungiert als Verbreitungskanal für EtherRAT und RMMProject. Letzteres ermöglicht Fernsteuerung des Bildschirms, Auslesung von Browser-Daten unter Umgehung von Verschlüsselungsschutz und Ausführung beliebiger Lua-Skripte. Nach erfolgreichem Systemzugriff konfigurieren Angreifer manuell Microsoft-Defender-Ausschlüsse, richten getunnelten Zugriff über Cloudflare ein und breiten sich lateral bis zum Domain-Controller aus.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.