Supply-Chain-Angriff auf Okendo-Bewertungs-Widget: SmartApeSG injiziert bösartiges JavaScript via ClickFix

Technische Funktionsweise des bösartigen JavaScript-Codes

Der injizierte Code fungierte als gestaffelter Lader mit mehreren Umgehungs- und Zielauswahlmechanismen . Anstatt sofort Malware auszuliefern, führte er zunächst Umgebungsprüfungen durch:

• localStorage-Tracking: Beim ersten Besuch setzte das Skript einen Zeitstempel im Browser-localStorage. Dadurch wurde eine wiederholte Ausführung für denselben Benutzer verhindert, was die Geräuschkulisse reduzierte und die Wahrscheinlichkeit verringerte, dass der Code bei Routinetests ausgelöst wurde .
• User-Agent-Filterung (Ausschluss mobiler Geräte): Das Skript prüfte die User-Agent-Zeichenfolge des Besuchers, um mobile Browser zu ignorieren und nur Desktop-Umgebungen anzugreifen. Dies geschah, weil spätere Infektionsschritte auf Windows-spezifische Interaktionen angewiesen waren .
• XOR-Verschleierung: Der Lader rekonstruierte dynamisch seine Zieladresse für die Kommando- und Kontrollinfrastruktur (C2), indem er XOR-verschleierte Zeichenfolgenfragmente zur Laufzeit decodierte. Damit umging er einfache signaturbasierte Erkennungen .
• Dynamische Skript-Injektion: Nach dem Wiederherstellen der versteckten C2-URL injizierte der Code ein neues <script>-Element in die Seite, um weitere Nutzlasten abzurufen .
• Fake-CAPTCHA / ClickFix Social Engineering: Opfer, die alle Prüfungen bestanden, sahen eine gefälschte „Bestätigen Sie, dass Sie kein Roboter sind"-Seite im Stil von ClickFix. Die Aufforderung forderte die Nutzer auf, den Windows-Dialog Ausführen zu öffnen und einen Befehl einzufügen, der zuvor still in ihre Zwischenablage kopiert worden war .

Die ClickFix-Social-Engineering-Masche

ClickFix ist eine Social-Engineering-Technik, bei der ein bösartiges Skript einen Befehl in die Zwischenablage des Nutzers kopiert und dann Anweisungen einblendet, diesen Befehl auszuführen – normalerweise durch Drücken von Win + R, Einfügen und Bestätigen. Der Befehl ist als Überprüfungsschritt getarnt. In diesem Angriff war die ClickFix-Masche in eine gefälschte CAPTCHA-Seite eingebettet, die vom kompromittierten Widget generiert wurde . Folgte ein Benutzer den Anweisungen, löste der eingefügte Befehl ein PowerShell-Skript oder eine HTML-Anwendung (HTA-Datei) aus, die dann Malware herunterlud und installierte .

Ausgelieferte Schadsoftware: RATs und Info-Stealer

Nach der Ausführung der ClickFix-Masche brachte die Infektionskette eine oder mehrere der folgenden Schadsoftware-Arten auf das System :

• NetSupport RAT – Ein Trojaner für den Fernzugriff, der Angreifern dauerhafte Fernsteuerung über den infizierten Rechner ermöglicht.
• Remcos RAT – Ein Trojaner für den Fernzugriff mit Keylogging-, Überwachungs- und Diebstahlfunktionen für Anmeldedaten.
• StealC – Ein Datendiebstahl-Tool, das Passwörter und Finanzdaten abgreift.
• Sectop RAT – Ein Trojaner für den Fernzugriff, der zur Spionage eingesetzt wird.
• DeerStealer – Ein Datendieb, der in früheren ClickFix-Varianten von SmartApeSG beobachtet wurde .

Ausmaß des Angriffs

• Über 18.000 E-Commerce-Marken nutzten das kompromittierte Okendo-Widget, was eine enorme Angriffsfläche schuf .
• Die betroffenen Seiten reichten von mittelgroßen Online-Shops bis hin zu großen US-Einzelhandelsmarken mit geschätzten Besucherzahlen von 150.000 bis zu mehreren Millionen monatlichen Besuchern pro Seite. Eine betroffene US-Einzelhandelsmarke verzeichnet etwa 7 Millionen Besucher pro Monat .
• Allein am 14. Mai 2026 verzeichnete die Cloud-Plattform von Zscaler fast 15.000 Blockaden im Zusammenhang mit SmartApeSG-Aktivitäten – der höchste jemals für diesen Bedrohungsakteur gemessene Tageswert .

Frühere Malware-Aktivitäten von SmartApeSG

SmartApeSG ist kein neuer Akteur. Die Gruppe ist seit Mitte 2024 mit ClickFix-Kampagnen aktiv und hat NetSupport RAT, Remcos RAT, StealC und Sectop RAT in mehreren früheren Angriffen eingesetzt . Frühere Kampagnen nutzten kompromittierte Websites mit gefälschten CAPTCHA-Seiten, um Nutzer dazu zu bringen, bösartige Befehle über den Windows-Ausführen-Dialog auszuführen . Zudem wurde die Gruppe beim Einsatz des DeerStealer-Datendiebs in früheren ClickFix-Varianten beobachtet . Der Okendo-Angriff stellt eine Eskalation dar: Anstatt einzelne Websites zu infizieren, kompromittierte SmartApeSG ein weit verbreitetes Drittanbieter-Widget und erreichte auf einen Schlag Tausende von Seiten – ein klassischer Supply-Chain-Verstärker .

Ergriffene Abhilfemaßnahmen

• Zscaler ThreatLabz meldete den Vorfall direkt an Okendo am 14. Mai 2026 .
• Okendo bestätigte die Kenntnis des Vorfalls und stellte das betroffene Widget-Skript auf einen sauberen Zustand zurück, wodurch der bösartige Code effektiv aus dem Verkehr gezogen wurde .
• Zscaler veröffentlichte Erkennungssignaturen unter dem Bedrohungsnamen JS.Injection.SmartApeSG, um die Injektionsaktivität zu verfolgen und zu blockieren .
• Kompromittierungsindikatoren (IoCs) der Forscher umfassen die kompromittierte Widget-URL (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) sowie SmartApeSG-C2-Infrastruktur-Domains wie api[.]wigetticks[.]com und api[.]wizzleticks[.]com .