Neue Mocha Manakin-Malware setzt NodeInitRAT über Clickfix-Angriff ein

Das Cybersicherheitsforschungsunternehmen Red Canary hat eine neue und besorgniserregende Cyberbedrohung namens Mocha Manakin entdeckt. Diese Bedrohung, die erstmals im Januar 2025 entdeckt wurde, kombiniert Social Engineering, das Menschen täuscht, mit speziell entwickelter Schadsoftware.

Mocha Manakin verwendet eine irreführende Taktik namens „Einfügen und Ausführen“ (auch bekannt als Clickfix oder FakeCAPTCHA ). Diese Methode verleitet Computerbenutzer dazu, unwissentlich schädliche Befehle zu kopieren und auszuführen, die oft als Schritte getarnt sind, um den Zugriff auf ein Dokument zu reparieren oder zu beweisen, dass sie ein Mensch sind.

Diese gefälschten Anweisungen umgehen regelmäßige Sicherheitsprüfungen und erleichtern dem bösartigen Skript den Download weiterer Schadprogramme auf den Computer des Opfers. Seit August 2024 verzeichnet Red Canary aufgrund ihrer Effektivität bei der Täuschung von Benutzern einen Anstieg von Paste-and-Run-Angriffen.

Laut dem technischen Blogbeitrag des Unternehmens unterscheidet sich Mocha Manakin durch das speziell entwickelte Schadprogramm, das es ausliefert: eine NodeJS-basierte Backdoor namens NodeInitRAT. Fällt ein Benutzer auf den Paste-and-Run-Trick herein, wird ein PowerShell-Befehl ausgeführt, um eine ZIP-Datei herunterzuladen, die dann im temporären Ordner des Benutzers, typischerweise C:\Users\ \AppData\Local\Temp\ gespeichert wird. C:\Users\ \AppData\Local\Temp\ .

Dieses ZIP-Archiv enthält ein legitimes node.exe-Programm. PowerShell verwendet diese node.exe dann, um den Schadcode NodeInitRAT auszuführen und ihn direkt über die Befehlszeile zu übergeben.

Nach der Installation kann NodeInitRAT heimlich vertrauliche Netzwerkinformationen sammeln, beliebige Befehle ausführen und weitere Schadsoftware einsetzen. Diese benutzerdefinierte Hintertür kommuniziert über das Internet mit ihren Controllern und nutzt dabei häufig legitime Cloudflare -Tunnel, um ihre Aktivitäten zu verbergen.

Bis Mai 2025 konnte Red Canary nicht direkt beobachten, dass Mocha Manakin zu Ransomware führte. Aufgrund der von Sekoia.io beobachteten Fähigkeiten und Verbindungen zu Interlock-Ransomware -Aktivitäten geht Red Canary jedoch mit mäßiger Sicherheit davon aus, dass unkontrollierte Mocha-Manakin-Infektionen wahrscheinlich zu Ransomware-Angriffen führen könnten. Dieser Zusammenhang ist besorgniserregend und verdeutlicht das ernsthafte Potenzial für Datenverschlüsselung und finanzielle Forderungen.

Red Canary rät Unternehmen, ihre Mitarbeiter über Paste-and-Run-Taktiken zu schulen und ihnen beizubringen, unerwarteten Anweisungen zum Kopieren und Einfügen von Befehlen in ihr System nicht zu folgen. Die Überwachung auf ungewöhnliches Computerverhalten ist ebenfalls wichtig. Wird NodeInitRAT gefunden, stoppen Sie sofort aktive node.exe-Prozesse, die die Malware ausführen. Der Schadcode könnte auch in versteckten Dateien (wie denen in AppData\Roaming ) oder in Windows-Registrierungseinträgen vorhanden sein. Diese sollten gelöscht werden, um eine erneute Ausführung der Malware zu verhindern.

Zur Netzwerkverteidigung kann die Blockierung der Kommunikation mit bekannten schädlichen Domänen, die von NodeInitRAT verwendet werden, die Verbindung zu seinen Controllern verhindern. Technische Teams können außerdem Erkennungsregeln einrichten, um PowerShell-Befehle mit invoke-expression und invoke-restmethod zu erkennen – typische Anzeichen für eine Erstinfektion mit Mocha Manakin. Durch Wachsamkeit und die Umsetzung dieser Schutzmaßnahmen können Unternehmen ihr Risiko gegenüber dieser wachsenden Bedrohung deutlich reduzieren.