### ClickFix-Exploits zielen auf australische Infrastruktur ab ClickFix ist ein Social-Engineering-Angriff, der Benutzer dazu verleitet, bösartige Befehle auszuführen, oft durch gefälschte CAPTCHA- oder Browser-Verifizierungsaufforderungen auf kompromittierten oder bösartigen Websites. Diese Angriffe beinhalten typischerweise, dass Benutzer **PowerShell**-Befehle ausführen und damit Sicherheitskontrollen umgehen, um Malware, üblicherweise Info-Stealer, einzuschleusen. Australische Organisationen und Infrastruktureinrichtungen sind die Hauptziele, wobei kompromittierte **WordPress**-Websites Benutzer zu bösartigen Payloads umleiten. Benutzer, die diese Websites besuchen, sehen eine gefälschte **Cloudflare**-Verifizierungs- oder CAPTCHA-Aufforderung, die sie anweist, einen bösartigen PowerShell-Befehl zu kopieren und manuell auszuführen, was zu einer Vidar Stealer-Infektion führt. "Das Australian Cyber Security Center (ACSC) des Australian Signals Directorate (ASD) hat ClickFix-assoziierte Aktivitäten beobachtet, die WordPress-basierte Infrastrukturen nutzen, um die Vidar Stealer-Malware zu verbreiten", heißt es in der Mitteilung der Behörde. ### Vidar Stealer: Eine kostengünstige Lösung zum Stehlen von Informationen **Vidar Stealer** ist eine Familie von Info-Stealer-Malware und eine Malware-as-a-Service (MaaS)-Operation, die Ende 2018 aufgetaucht ist. Sie ist aufgrund ihrer Kosteneffizienz, einfachen Bereitstellung und breiten Datendiebstahlfähigkeiten zu einer beliebten Wahl unter Cyberkriminellen geworden. Die Malware zielt auf Browser-Passwörter, Cookies, Kryptowährungs-Wallets, Autovervollständigungsdaten und Systemdetails ab. Vidar wurde in ClickFix-Angriffen beobachtet und über gefälschte Windows-Fixes, **TikTok**-Videos und **GitHub** beworben. Letztes Jahr veröffentlichte der Entwickler eine neue Version mit verbesserten Funktionen. ### Vidars Tarnung und C2-Kommunikation Das ACSC stellt fest, dass Vidar seine ausführbare Datei nach dem Start auf dem infizierten Gerät löscht und dann aus dem Systemspeicher operiert, wodurch forensische Artefakte reduziert werden. Es ruft seine Command-and-Control (C2)-Adresse über "Dead-Drop"-URLs ab, indem es öffentliche Dienste wie **Telegram**-Bots und **Steam**-Profile nutzt. ### Empfehlungen zur Eindämmung Das ACSC empfiehlt Organisationen, die PowerShell-Ausführung einzuschränken und eine Anwendungs-Allow-Listing zu implementieren, um das Risiko dieser Angriffe zu verringern. WordPress-Website-Administratoren wird außerdem geraten, verfügbare Sicherheitsupdates für Themes und Add-ons anzuwenden und nicht verwendete Themes/Plugins von ihren Plattformen zu entfernen. Das Sicherheitsbulletin des ACSC bietet Indicators of Compromise (IoCs) für diese Angriffe, die es Organisationen ermöglichen, Abwehrmaßnahmen zu etablieren oder Eindringversuche zu erkennen.  ## [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier 0-Day-Schwachstellen zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. & 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung exploitable Schwachstellen findet, die Wirksamkeit von Kontrollen beweist und den Remediation-Loop schließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)