DE EN
Locations | Contact | Imprint | General terms and conditions | Data privacy | Public Key

©2026 Controlware GmbH

HiddenBrowser RAT - Teil2

Dies ist der zweite Teil unserer Analyse einer ClickFix-Kampagne, bei der Cyberkriminelle ihre Malware über Printables.com – eine weit verbreitete Plattform zum Austausch von 3D-Druck-Modellen – verbreiten. In Teil 1 haben wir bereits die Verbreitung des StealC-Stealers über das Pyramid-Framework und dessen Ausführung im Arbeitsspeicher dokumentiert.

Bei der Untersuchung der C2-Infrastruktur der Kampagne über den Analyse-Service VirusTotal identifizierten wir eine zweite Payload, die auf demselben C2-Endpoint läuft. Dabei handelt es sich um eine Binärdatei namens „print.exe“. Führt ein Nutzer diese aus, wird eine weitere ZIP-Datei heruntergeladen, die einen voll funktionsfähigen Python-Remote-Access-Trojaner (RAT) enthält. Wir haben diese Malware „HiddenBrowser RAT“ genannt, nach ihrer auffälligsten Funktion: einer versteckten, vom Betreiber gesteuerten Browser-Sitzung, die auf dem Automatisierungs-Framework „Playwright“ von Microsoft basiert.

Funktionsweise und Bewertung von HiddenBrowser RAT

HiddenBrowser RAT ist ein einzelnes Python-Skript, das eine breite Palette von Post-Exploitation-Funktionen vereint: einen versteckten virtuellen Desktop (hVNC), einen Keylogger, einen vom Open-Source-Projekt „ParadiseClipper“ abgeleiteten Kryptowährungs-Clipper, einen SOCKS5-Proxy-Server sowie die Ausführung einer Remote-Shell.

Die Funktion, die diesen RAT jedoch von der bestehenden Bedrohungslandschaft unterscheidet, ist ihr eingebettetes Playwright-Browser-Modul: Nach der Aktivierung durch den Angreifer kopiert HiddenBrowser RAT das echte Chrome-, Edge- oder Brave-Browserprofil des Opfers – einschließlich aller Sitzungs-Cookies, gespeicherten Passwörter und des Browserverlaufs. Mit diesem Profil wird dann ein verstecktes Browserfenster außerhalb des Bildschirms gestartet und ein Live-Videofeed mit etwa fünf Bildern pro Sekunde an den Angreifer übertragen. Dieser kann nun navigieren, klicken, tippen und scrollen, als säße er direkt vor dem Computer des Opfers.

Diese Technik ist besonders gefährlich, da sie dem Angreifer vollständig authentifizierten Zugriff auf jede Website gewährt, bei der das Opfer angemeldet ist – einschließlich Banking-Portale, SSO-Systeme von Unternehmen und Cloud-Infrastruktur –, ohne dass dabei ein Anmeldevorgang oder eine MFA-Abfrage ausgelöst wird. Sie ist zudem von Haus aus immun gegen die „App-Bound Encryption“ (ABE) von Google Chrome, da der Browser seine eigenen Cookies wie gewohnt entschlüsselt. Nach unserem Kenntnisstand existiert bislang kein öffentlicher Bedrohungsbericht, der einen vergleichbaren Missbrauch von Playwright durch einen RAT dokumentiert. Wir bewerten dies als eine neuartige und eskalierende Entwicklung im Bereich des browserbasierten Session-Hijacking.

Vollständige Analyse in unserem Research-Bericht

In unserem vollständigen Threat-Report analysieren wir die Kampagne detailliert – von der Herkunft, über den technischen Background bis zur Risikominderung und dem Abgleich mit dem MITRE ATT&CK Framework.

Den vollständigen Bericht mit allen technischen Details laden Sie hier.