ClickFix-Kampagne: Amatera-Infostealer über gefälschte CAPTCHA und missbrauchte Microsoft App-V-Skripte

ClickFix-Kampagne: Amatera-Infostealer über gefälschte CAPTCHA und missbrauchte Microsoft App-V-Skripte

Eine neue ClickFix-Kampagne verbreitet die Amatera-Infostealer-Malware über gefälschte CAPTCHA-Seiten und missbraucht dabei signierte Microsoft-Komponenten aus dem Windows-Umfeld. Besonders relevant ist die Kombination aus Social Engineering, legitimen Windows-Systemtools und fortgeschrittenen Evasion- sowie Injektionstechniken. Der Angriff ist zudem an eine Voraussetzung gebunden: Er funktioniert nur auf Windows 10, Windows 11 oder Windows Server, wenn die App-V-Funktion (Microsoft Application Virtualization) aktiviert ist. Dadurch sind vor allem Nutzer von Windows 10/11 Pro beziehungsweise Server-Editionen betroffen, während Windows-Home-Editionen in der Regel nicht betroffen sind.

Was bei der ClickFix-Amatera-Kampagne passiert

Der Startpunkt der Infektionskette ist ein Social-Engineering-Ansatz, der als ClickFix bekannt ist. In der beobachteten Variante werden Nutzer auf gefälschte CAPTCHA-Seiten gelenkt. Dort folgt die entscheidende Interaktion: Die Opfer werden dazu gebracht, einen Befehl manuell in das Windows-Ausführen-Fenster einzufügen (Windows-Taste + R). Ohne diese aktive Nutzerhandlung greift der Angriff nicht.

Warum die Kampagne schwer zu erkennen ist

Die Kampagne verbindet mehrere Elemente, die die Erkennung erschweren:

  • Social Engineering über eine gefälschte CAPTCHA-Seite
  • Missbrauch einer signierten Microsoft-Komponente (App-V-Skripte) als vertrauenswürdiger Ausführungspfad
  • Fileless Ausführung, bei der die Malware vollständig im Arbeitsspeicher (RAM) ausgeführt wird
  • Zusätzliche technische Evasion- und Injektionstechniken, die Sicherheitsmechanismen umgehen sollen

Missbrauch von Microsoft App-V: SyncAppvPublishingServer.vbs als Schlüsselkomponente

Ein zentrales Element der Angriffskette ist die zweckentfremdete Nutzung des App-V-Ökosystems. Konkret wird das Skript SyncAppvPublishingServer.vbs missbraucht, um die Infektion zu verbergen beziehungsweise die Ausführung in einen Kontext zu bringen, der als legitime Microsoft-Komponente wahrgenommen werden kann. Genau diese Nutzung signierter und in Windows integrierter Bestandteile macht den Angriff in der Praxis schwerer erkennbar als Varianten, die auf eindeutig fremde Tools setzen.

Betroffene Windows-Versionen und die App-V-Voraussetzung

Für den Erfolg des Angriffs ist App-V entscheidend. Die Kampagne funktioniert nur auf:

  • Windows 10 (insbesondere Pro/Enterprise, sofern App-V aktiviert ist)
  • Windows 11 (insbesondere Pro/Enterprise, sofern App-V aktiviert ist)
  • Windows Server (sofern App-V aktiviert ist)

Ein wichtiger Risikohinweis aus den vorliegenden Informationen: Viele Einzelnutzer mit Windows Home verfügen typischerweise nicht über diese Komponente und sind dadurch nicht betroffen.

Amatera-Infostealer: Herkunft, Angebot als MaaS und kontinuierliche Weiterentwicklung

Amatera wird als Malware-as-a-Service (MaaS) angeboten. Das bedeutet, dass Cyberkriminelle die Malware als Service vermieten und damit ein abonnementähnliches Modell nutzen. In den vorliegenden Informationen wird Amatera zudem als Weiterentwicklung beziehungsweise Rebranding des früheren ACR-Stealers beschrieben.

Ursprung: ACR-Stealer-Quellcode und Verkauf im Juli 2024

Als Ausgangspunkt für die heutige Amatera-Entwicklung wird genannt, dass ein Malware-Autor namens SheldIO den Quellcode des älteren ACR-Stealers im Juli 2024 zum Verkauf anbot. Dieser Kontext wird als Erklärung dafür angeführt, warum Amatera in den Folgejahren (2025-2026) fortlaufend Updates und verbesserte Evasion-Techniken erhielt.

Technische Raffinesse: Evasion- und Injektionstechniken in der Amatera-Kette

In den beschriebenen Beobachtungen wird Amatera mit mehreren fortgeschrittenen Techniken in Verbindung gebracht, die darauf abzielen, Sicherheitsmechanismen zu umgehen und Erkennung zu erschweren. Dazu zählen:

  • WoW64 SysCalls (um User-Mode Hooks von AV/EDR zu umgehen)
  • AMSI-Umgehung
  • Deaktivierung von ETW (Event Tracing for Windows)
  • Early Bird in Kombination mit Context Hijack Injection

Die Injektion wird in diesem Zusammenhang so beschrieben, dass der Malware-Code in einen suspendierten Prozess OpenWith.exe injiziert wird. Zudem wird betont, dass die Ausführung vollständig im RAM stattfindet (fileless Vorgehen).

Umgang mit App Bound Encryption bei Chrome-basierten Browsern

Als weiterer technischer Aspekt wird genannt, dass Amatera in der Lage ist, App Bound Encryption bei Chrome-basierten Browsern durch Shellcode-Injektion zu umgehen. Diese Fähigkeit wird im Kontext der Datendiebstahl-Funktionalität und der Umgehung von Schutzmechanismen beschrieben.

Konfiguration aus Google Calendar und versteckte Module in PNG-Dateien

Die Kampagne setzt laut den vorliegenden Informationen auf mehrere ungewöhnliche Mechanismen zur Steuerung und zur verdeckten Bereitstellung von Payloads:

  • Konfigurationsdaten werden aus einem öffentlichen Google-Kalender geladen.
  • Payload-Module sind in PNG-Bildern versteckt, die über Steganografie eingebettet wurden.

LSB-Steganografie in PNG und Abruf über öffentliche CDNs

Zur Steganografie wird konkret Least Significant Bit (LSB) in PNG-Bildern genannt. Die PNG-Dateien werden von öffentlichen CDNs bezogen. Aus den Bildern werden verschlüsselte PowerShell-Payloads extrahiert, anschließend dekryptiert und gzip-dekomprimiert. Auch hier wird hervorgehoben, dass dieser Ablauf vollständig im RAM erfolgt.

Adaptive Payload-Strategie: Domain-Checks und selektives Nachladen

Amatera wird nicht nur als Infostealer beschrieben, sondern auch als Einstiegspunkt in mehrstufige Kampagnen. Ein wesentlicher Baustein ist eine adaptive Strategie, bei der zunächst geprüft wird, wie "wertvoll" ein System ist. Dazu zählen insbesondere:

  • Prüfung, ob das System Mitglied einer Windows-Domain ist
  • Suche nach Kryptowallet-Dateien

Abhängig vom Ergebnis kann zusätzliche Malware nachgeladen werden. In diesem Zusammenhang wird genannt, dass über eine " ld " oder " load "-Funktion sekundäre Payloads ausgeliefert werden können.

Beobachtete sekundäre Payloads: NetSupport RAT, Amadey und Discord Token Stealer

Als beobachtete sekundäre Malware werden in den vorliegenden Informationen aufgeführt:

  • NetSupport RAT (NetSupport Manager als legitimes Remote-Monitoring-Tool, das hier missbraucht wird, um Fernzugriff zu erlangen)
  • Amadey Stealer
  • Discord Token Stealer

Damit wird Amatera als "Türöffner" beschrieben, der nach einer initialen Infektion weitere Schritte ermöglichen kann.

Einschränkungen und Risikoeinordnung: Was wir (nicht) wissen

Zu den wichtigsten Einschränkungen und Gegenpunkten aus den vorliegenden Informationen zählen:

  • App-V als harte Voraussetzung: Ohne aktivierte App-V-Funktionen funktioniert der Angriff nicht. Das konzentriert das Risiko auf Pro/Enterprise/Server-Umgebungen und schränkt die Gefahr für viele Konsumenten ein.
  • Notwendige Nutzer-Interaktion: Die Infektion hängt davon ab, dass Nutzer aktiv einen Befehl in das Ausführen-Fenster kopieren und einfügen.
  • Unklare Verbreitungsrate: Es werden keine zeitgestaffelten Zahlen zu Infektionshäufigkeit oder zur Anzahl betroffener Unternehmen genannt.

Schutzmaßnahmen gegen ClickFix und Amatera

Aus den vorliegenden Informationen ergeben sich mehrere konkrete, kombinierbare Schutzmaßnahmen. Der Schwerpunkt liegt auf der Verhinderung des initialen Ausführens sowie auf Härtung und Monitoring in Unternehmensumgebungen:

  • Keine unbekannten Befehle aus dem Internet in das Windows-Ausführen-Fenster (Windows-Taste + R) kopieren und einfügen.
  • Zugriff auf den Run-Dialog über Gruppenrichtlinien einschränken.
  • PowerShell-Protokollierung aktivieren.
  • App-V-Komponenten deinstallieren, wenn sie nicht benötigt werden.
  • Netzwerk-Anomalien überwachen, insbesondere Auffälligkeiten zwischen Hostnamen und Zieladressen.

Die Empfehlungen richten sich besonders an Unternehmen, die Windows 10/11 Pro, Enterprise oder Server-Systeme mit App-V betreiben.

FAQ zur Amatera-ClickFix-Kampagne

Bin ich mit Windows Home betroffen?

Nach den vorliegenden Informationen: in der Regel nein. Der Angriff benötigt Microsoft Application Virtualization (App-V), das normalerweise nur in Windows Pro-, Enterprise- und Server-Editionen enthalten ist.

Warum gilt diese Variante als gefährlicher als frühere ClickFix-Angriffe?

Genannt werden insbesondere die Kombination aus gefälschtem CAPTCHA, dem Missbrauch einer offiziell signierten App-V-Komponente sowie zusätzliche Techniken wie Steganografie in PNG-Bildern, das Laden von Konfigurationen aus einem öffentlichen Google-Kalender und die fileless Ausführung im RAM.

Was bedeutet Malware-as-a-Service (MaaS) im Fall von Amatera?

Amatera wird als Service angeboten. In den vorliegenden Informationen wird dies als Faktor beschrieben, der schnelle Updates und Verbesserungen erleichtert und die Professionalisierung solcher Kampagnen unterstützt.

Ist NetSupport RAT legitim?

Ja. NetSupport Manager wird als legitimes Remote-Monitoring-Tool für Fernwartung beschrieben. Im Kontext der Kampagne wird es jedoch missbraucht, um nach einer Amatera-Infektion vollen Fernzugriff zu erlangen.

Fazit

Die ClickFix-Kampagne zeigt eine Infektionskette, die stark auf Vertrauen in Windows-Komponenten und auf aktive Nutzerinteraktion setzt: gefälschte CAPTCHA-Seiten bringen Opfer dazu, Befehle in das Run-Fenster einzufügen, während signierte App-V-Skripte wie SyncAppvPublishingServer.vbs als Ausführungspfad missbraucht werden. Technisch wird die Kampagne durch fileless Ausführung im RAM, Konfigurationsabruf über einen öffentlichen Google-Kalender und in PNG-Bildern versteckte Module mittels LSB-Steganografie ergänzt. Da der Angriff App-V voraussetzt, liegt der Schwerpunkt des Risikos auf Windows-10/11-Pro- und Server-Umgebungen. Entsprechend wichtig sind sowohl Aufklärung gegen das Kopieren unbekannter Befehle als auch konkrete Härtungsmaßnahmen wie Gruppenrichtlinien, PowerShell-Logging, das Entfernen nicht benötigter App-V-Komponenten und engmaschiges Netzwerk-Monitoring.

Weitere Trends