ConsentFix – Neue browser-native ClickFix-Variante aufgetaucht

Vor wenigen Tagen haben Sicherheitsforscher von Push Security in einem Blogbeitrag die Sichtung einer neuen ClickFix-Angriffsvariante bekannt gegeben: ConsentFix. Bei ConsentFix handelt es sich um einen browser-nativen ClickFix-Angriff, bei dem das Opfer dazu gebracht wird, eine URL mit OAuth-Schlüsselmaterial in eine Phishing-Seite zu kopieren. Ziel der Angreifer ist es, sich Zugriff auf die Microsoft-Konten von Unternehmen zu verschaffen.

Für einen ConsentFix-Angriff kompromittieren die Cyberkriminellen Webseiten mit hoher Domain-Reputation, die über Suchmaschinen leicht zu finden sind. Sie integrieren eine Cloudflare Turnstile, die zur Fortsetzung des Ladens der Webseite vom Nutzer die Eingabe der eigenen E-Mail-Adresse und Domain erfordert.

Um die Chancen eines erfolgreichen Angriffs zu erhöhen, haben die Cyberkriminellen Sicherheitsmaßnahmen implementiert. Diese verhindern, dass der Angriff bei Besuchen von Sicherheits-Bots, Sicherheitsexperten und Accounts mit geringem Wert aktiviert wird.

Identifiziert ConsentFix den Nutzer als ‚falschen‘ Nutzer, wird dieser auf die ursprüngliche Website weitergeleitet. Der Angriff wird abgebrochen. Sollte die Webseite noch einmal von derselben Domain angewählt werden, wird der Angriff auch dann nicht gestartet, wenn nun eine passende E-Mail-Adresse eingegeben wird. Als passend gelten ausschließlich geschäftliche E-Mail-Adressen. Bei der Eingabe einer privaten E-Mail-Adresse werden die Nutzer gebeten, es noch einmal mit ihrer geschäftlichen E-Mail-Adresse ihres Unternehmens zu versuchen.

Wird der Angriff dann aktiviert, wird das Opfer aufgefordert, eine Reihe von Anweisungen auszuführen, um das Laden der Webseite endlich abschließen zu können. Zunächst wird es gebeten, auf einen Anmelden-Button zu klicken. Dadurch wird eine neue Registerkarte geöffnet, die eine legitime Microsoft-URL lädt, die mit dem Nutzerkonto/der E-Mail-Adresse des Opfers verknüpft ist. Wenn das Opfer bereits in seinem Browser bei Microsoft angemeldet ist, muss es hier lediglich sein MS-Konto aus einer Dropdown-Liste auswählen. Andernfalls muss er sich über die legitime Microsoft-Anmelde-URL anmelden. Sobald das Opfer bei Microsoft angemeldet ist oder das Konto aus der Dropdown-Liste ausgewählt hat, wird es dann zu localhost weitergeleitet, wo eine URL generiert wird, die einen Code enthält, der mit dem Microsoft-Konto des Opfers verknüpft ist. Nun wird das Opfer aufgefordert, diese URL manuell zu kopieren und in die Fake-Webseite der Angreifer einzutragen. Dadurch wird der geheime MS-Schlüssel dann an den Server der Angreifer weitergeleitet.

Nun können die Cyberkriminellen eine OAuth-Verbindung zwischen ihrer Azure CLI-Instanz und dem Microsoft-Konto ihres Opfers herstellen. Sie haben Zugang zu und Zugriff auf das geschäftliche Microsoft-Konto ihres Opfers – ohne jemals nach einem Passwort gephisht oder eine MFA-Prüfung manipuliert haben zu müssen.

Es sind Meldungen wie diese, die zeigen, wie wichtig es ist und bleibt, dass Unternehmen ihre Belegschaft kontinuierlich und regelmäßig über die aktuellen Entwicklungen innerhalb der Cyberbedrohungslandschaft auf dem Laufenden halten. Rein technisch lassen sich solche Angriffe nur unzureichend abwehren. Die gesamte Belegschaft muss um aktuelle Gefahren wie diese wissen, muss über das erforderliche Sicherheitsbewusstsein verfügen, das es ihnen ermöglicht, Anzeichen für solche und ähnliche Angriffe frühzeitig zu erkennen und zu melden.

Am effektivsten – da umfassendsten – helfen kann Unternehmen hier der Einsatz eines modernen Human Risk Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, Risiken signifikant zurückzufahren und Mitarbeiter wie KI-Agenten zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4