# Neue ClickFix-Variante nutzt DNS-Abfragen

BEDROHUNG

Nachdem Microsofts Sicherheitsforscher eine neue Variante des bekannten „ClickFix“-Angriffs beobachteten, ist vor allem die Übertragung der Payload über DNS auffällig. Anstelle klassischer Download-URLs wird der nslookup-Befehl genutzt, um Schadcode via DNS zu übertragen.

Wie üblich werden Opfer aufgefordert, das Ausführungsfenster zu öffnen, um ein fiktives Problem zu lösen. Der vom Angreifer bereitgestellte nslookup-Befehl fragt eine Domain ab, deren Antwort im „NAME:“-Feld die nächste PowerShell-Anweisung enthält. Dadurch wird anschließend eine weitere Payload nachgeladen, die letztlich ein .zip-Archiv herunterlädt.

Das Archiv enthält Python-Dateien, die zunächst Informationen über die Opfer sammeln und ein Script ausführen. Nach dem Autostart wird eine Shortcut Datei hinzugefügt. Die Python-Dateien
werden bei jedem Neustart ebenfalls gestartet. 

Durch die Nutzung von regulärem DNS-Traffic kann die Kommunikation auffällige Web-Downloads und so die Detektion durch lokale Schutzsoftware umgehen, insbesondere wenn DNS nicht oder kaum überwacht wird. 

Was jetzt zu tun ist:

• ggf. Systembereinigung durchführen
  • https://x.com/MsftSecIntel/status/2022456621142524094
  • https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/

Unsere Empfehlung

Eine neue Variante des bekannten ClickFix-Angriffs nutzt erstmals DNS-Abfragen zur Übertragung von Schadcode. Statt klassischer Download-URLs ruft ein manipuliertes nslookup-Kommando PowerShell Befehle direkt aus DNS-Antworten ab. Darüber wird anschließend weitere Malware nachgeladen, wie beispielsweise der Remote Access Trojaner ModeloRAT. 

Mit den CDC Security Monitoring & Analyse Services erkennen wir genau solche atypischen Techniken – durch DNS-Anomalieerkennung, PowerShell Verhaltensanalysen und die 
Korrelation verdächtiger Prozessketten.

Wir unterstützen dabei mit den folgenden, führenden SIEM & EDR Lösungen:

• SIEM: IBM QRadar, Splunk, Microsoft Sentinel – inklusive DNS Analytics, 
  MITRE Mapping und verhaltensbasierter Erkennung
• EDR: SentinelOne & Microsoft Defender for Endpoint – zur Blockierung auffälliger 
  PowerShell und Python Aktivitäten sowie Persistenzversuche

DNS-Missbrauch wird zunehmend zu einem zentralen Angriffsvektor. Mit der Kombination aus CDC-Monitoring, leistungsstarken SIEM UseCases und EDR gestützter Verhaltensanalyse bieten wir zuverlässige Erkennung und Reaktion gegen moderne Malware.

Autor: Michael Niers