The long road to your crypto: ClipBanker and its marathon infection chain
Ein Trojaner nutzt eine komplexe Infektionskette, die mit einer Suchanfrage nach "Proxifier" beginnt. Die Täuschung führt zu einem GitHub-Repository, das ein gefährliches Wrapper-Paket um den legitimen Proxifier-Installer schließt und Microsoft Defender-Ausnahmen erstellt. Nach der Installation des legitimen Programms lädt der Trojaner im Hintergrund weitere Module herunter und setzt eine geplante Aufgabe mit einem PowerShell-Skript ein, das sich selbst aktualisieren kann und den Angreifern Informationen über die Infektion sendet. Benutzer sollten vorsichtig sein bei unbekannten Downloads und regelmäßige Sicherheitsupdates durchführen.
Der Artikel beschreibt ClipBanker mit einer langen Infektionskette, die bei einer Suche nach „Proxifier“ beginnt. Die Täuschung führt zu einem GitHub-Repository mit einem bösartigen Wrapper um den legitimen Proxifier-Installer, erstellt Microsoft-Defender-Ausnahmen, lädt weitere Module nach und richtet eine geplante Aufgabe mit einem selbstaktualisierenden PowerShell-Skript ein. Der Trojaner sendet Informationen über die Infektion an die Angreifer.
Benutzer, die unbekannte Downloads im Zusammenhang mit Proxifier verwenden; Branche Finanzen ist im Artikel angegeben
Die Kette kombiniert Social Engineering, legitime Software und Persistenz, wodurch klassische Erkennung erschwert werden kann.
Ein Benutzer installiert den Wrapper, wodurch der Trojaner Module nachlädt, Persistenz einrichtet und Infektionsinformationen an Angreifer übermittelt.
Downloads nur aus vertrauenswürdigen Quellen zulassen, Defender-Ausnahmen überwachen und geplante Aufgaben mit PowerShell-Bezug prüfen.
- ▸Endpoint-Telemetrie auf neu erstellte Microsoft-Defender-Ausnahmen nach Softwareinstallationen prüfen.
- ▸Geplante Aufgaben mit PowerShell-Skripten identifizieren und auf Selbstaktualisierungslogik oder unbekannte Zieladressen prüfen.
- ▸Software-Download-Prozesse validieren und GitHub-basierte Installer-Wrapper für Proxifier blockieren oder manuell überprüfen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1562.001 Impair Defenses: Disable or Modify Tools | High | Der Artikel nennt das Erstellen von Microsoft-Defender-Ausnahmen. |
| Persistence | T1053.005 Scheduled Task/Job: Scheduled Task | High | Der Artikel nennt eine geplante Aufgabe mit einem PowerShell-Skript. |
| Execution | T1059.001 Command and Scripting Interpreter: PowerShell | High | Der Artikel nennt ein PowerShell-Skript. |
| Command and Control | T1105 Ingress Tool Transfer | Medium | Der Artikel nennt das Nachladen weiterer Module im Hintergrund. |
| Command and Control | T1041 Exfiltration Over C2 Channel | Low | Der Artikel nennt, dass Informationen über die Infektion an Angreifer gesendet werden. |
- Konkrete IOCs nicht im Artikel angegeben.
- Betroffene Länder nicht im Artikel angegeben.
- Konkrete gestohlene Datenarten nicht im Artikel angegeben.
- Exploit oder CVE nicht im Artikel angegeben.