Ausgangspunkt war laut Expel eine gefälschte Webseite, die sich als "Fortinet VPN Compliance Checker" ausgab. Sie forderte Nutzer dazu auf, einen vermeintlich harmlosen Befehl zu kopieren. In Wirklichkeit verbarg sich dahinter ein PowerShell-Skript, das über 100 Leerzeichen hinweg getarnt war. Der sichtbare Teil sah aus wie ein einfacher Dateipfad – tatsächlich startete der unsichtbare Teil des Codes ein Skript, das im Hintergrund Browser-Cache-Dateien auslas.

Malware als Bild im Browser-Cache

Auf technischer Ebene nutzt die Kampagne mehrere Tricks, die sie schwerer erkennbar machen: Die bösartigen Daten werden als harmlose MIME-Typen (etwa image/jpeg) serviert und landen damit automatisch im Browser-Cache, wo Browser typischerweise binäre Blobs zusammenpacken. Durch eindeutige Marker-Strings ("bTgQcBpv" / "mX6o0lBw") lässt sich das eingebettete ZIP-Payload zuverlässig aus den Cache-Blobs extrahieren, ohne dass ein separater Download sichtbar wird.

Zur Ausführung setzen die Angreifer auf einen verdeckten Startweg (Execution via conhost.exe mit einem "headless"-Argument und anschließender PowerShell-Ausführung), sodass der sichtbare Teil im Explorer-Adressfeld wie ein harmloser Pfad aussieht. Im Cache fand das Skript schließlich eine als Bild getarnte ZIP-Datei, die zuvor von der Webseite "nachgeladen" worden war. Das Schadpaket wurde so ohne jeglichen Download auf dem System platziert – eine Technik, die als Cache Smuggling bezeichnet wird. Da weder der Webverkehr noch die PowerShell-Befehle verdächtig wirken, können herkömmliche Sicherheitslösungen diesen Angriff leicht übersehen.

Angriffsspuren erkennen

Forensisch bleiben dennoch Spuren: ungewöhnliche Lesezugriffe auf Browser-Cache-Dateien, neu erzeugte Verzeichnisse unter Benutzerprofilen (beispielsweise %LOCALAPPDATA%), plötzlich auftauchende ZIP-Dateien und extrahierte ausführbare Dateien sowie nicht-typische Prozesse, die auf diese Dateien zugreifen.

Sicherheitsforscher empfehlen, verdächtige Zugriffe auf den Browser-Cache zu überwachen, die Nutzung von PowerShell auf notwendige Benutzer zu beschränken und DNS-Filter einzusetzen, um den Zugriff auf neu registrierte oder unbekannte Domains zu blockieren. Schulungen zu ClickFix-ähnlichen Social-Engineering-Tricks können ebenfalls helfen, solche Angriffe frühzeitig zu erkennen.  Für die Erkennung sollten Admins diese Artefakte in Monitoring-Regeln berücksichtigen: Zugriffe auf Cache-Pfade, unerwartete Schreiboperationen oder ungewöhnliche conhost/PowerShell-Kinderprozesse.