Was ist ein ClickFix-Angriff und wie funktioniert er im Detail?

Informatec Digital » Ressourcen » Was ist ein ClickFix-Angriff und wie funktioniert er im Detail?

ClickFix-Angriffe haben sich zu einer der beliebtesten Social-Engineering-Methoden entwickelt. In der Welt der Cyberkriminalität: Kampagnen, die harmlos erscheinen, mit gefälschten Browserwarnungen oder Sicherheitsüberprüfungen, die aber letztendlich dazu führen, dass der Benutzer bösartigen Code auf seinem Computer ausführt, fast ohne es zu merken.

ClickFix ist weit mehr als nur eine technische Kuriosität; es hat sich bereits in realen Kampagnen in Lateinamerika, Europa und anderen Regionen bewährt., indem sie Infostealer, Remote-Access-Trojaner (RATs) und komplexe Loader wie GHOSTPULSE oder NetSupport RAT verbreiten und sogar TikTok-Videos oder YouTube-Tutorials ausnutzen, um Tausende von Opfern zu erreichen.

Was genau ist ein ClickFix-Angriff?

ClickFix ist eine relativ neue Social-Engineering-Technik (die seit 2024 an Popularität gewonnen hat). Das Prinzip ist ganz einfach: den Benutzer davon zu überzeugen, Befehle auf seinem eigenen System zu kopieren und auszuführen, um ein vermeintliches technisches Problem zu "beheben" oder eine Überprüfung abzuschließen.

Anstatt ein Schadprogramm direkt herunterzuladen, schleust die schädliche Webseite ein Skript oder einen Befehl in die Zwischenablage ein. (zum Beispiel PowerShell-Befehle unter Windows oder MSHTA-Befehle) und zeigt dann Schritt-für-Schritt-Anweisungen an, die das Opfer in eine Konsole, ein Ausführen-Fenster oder ein Terminal einfügen und ausführen kann.

Diese Taktik nutzt das aus, was viele Forscher als „Verifizierungsmüdigkeit“ bezeichnen.Die Nutzer sind es gewohnt, schnell auf Schaltflächen wie „Ich bin ein Mensch“, „Problem beheben“ oder „Jetzt aktualisieren“ zu klicken, ohne die Nachricht genauer zu analysieren. Dadurch werden sie sehr angreifbar, wenn der Bildschirm wie eine Cloudflare-Verifizierung, ein Google CAPTCHA oder ein Google Meet- oder Zoom-Fehler aussieht.

Der Name ClickFix leitet sich genau von den Knöpfen ab, die üblicherweise auf diesen Ködern zu finden sind.mit Texten wie „Fix it“, „How to fix“, „Correct now“ oder „Solve problem“, die den Eindruck erwecken, der Benutzer wende eine schnelle Lösung an, während er in Wirklichkeit ein Skript kopiert und ausführt, das Schadsoftware herunterlädt.

Wie ein ClickFix-Angriff Schritt für Schritt funktioniert

Obwohl es viele Variationen gibt, folgen fast alle ClickFix-Angriffe einem gemeinsamen Ablauf. Dabei werden kompromittierte Websites, bösartige JavaScript-Skripte und das "erzwungene" Eingreifen des Benutzers zur Ausführung des Codes kombiniert.

Der erste Schritt besteht üblicherweise darin, eine legitime Webseite zu besuchen, die kompromittiert wurde, oder eine direkt bösartige Seite., die das Opfer über einen Link in einer Phishing-E-Mail, manipulierte Suchmaschinenergebnisse (bösartige Suchmaschinenoptimierung), bösartige Anzeigen oder sogar über ein TikTok- oder YouTube-Video mit angeblichen Tricks zur Aktivierung kostenpflichtiger Software erreicht.

Auf dieser Seite wird eine gefälschte Warnung oder Bestätigung angezeigt, die ein technisches Problem vortäuscht.Fehler beim Laden eines Dokuments, fehlgeschlagene Browseraktualisierung, Mikrofon- oder Kameraprobleme in Google Meet/Zoom oder eine vermeintliche Anti-Bot-Prüfung wie Cloudflare oder reCAPTCHA, die Sie am Fortfahren hindert, bis etwas "behoben" ist.

Sobald der Benutzer die Schaltfläche „Richtig“ drückt oder das Kästchen „Ich bin ein Mensch“ ankreuzt.Ein JavaScript-Skript fügt automatisch einen bösartigen Befehl in die Zwischenablage ein, üblicherweise einen verschleierten PowerShell- oder MSHTA-Befehl, der dann ein weiteres Stück Schadsoftware von einem Remote-Server herunterlädt.

Die Webseite bietet dem Opfer eine detaillierte Anleitung zur Ausführung dieses Befehls.zum Beispiel:

• Klicken Sie auf die Schaltfläche „Reparieren“, um den Lösungscode zu kopieren..
• Drücken Sie die Tasten Win+R, um das Ausführen-Fenster zu öffnen. in Windows.
• Drücken Sie Strg+V, um den Inhalt der Zwischenablage einzufügen. (der bösartige Befehl).
• Drücken Sie die Eingabetaste, um das Problem zu beheben oder mit der Überprüfung fortzufahren..

In fortgeschritteneren Varianten wird der Trick mit Win+X oder über die Browserkonsole ausgeführt.Der Benutzer wird angewiesen, über das Schnellmenü (Win+X) ein PowerShell-Terminal mit Administratorrechten zu öffnen oder die Browserkonsole (F12 oder Strg+Umschalt+I) zu verwenden und dort einen JavaScript-Codeblock oder eine "Verifizierungsfunktion" einzufügen.

Nach Ausführung des Befehls entwickelt sich der Rest der Infektion im Hintergrund.Das Skript lädt weitere Teile von Command-and-Control-Servern (C2) herunter, dekomprimiert Dateien, führt bösartige DLLs durch Sideloading aus und installiert schließlich Infostealer oder RATs im Speicher oder auf der Festplatte.

Warum ClickFix so schwer zu erkennen ist

Einer der großen Vorteile von ClickFix für Angreifer ist, dass es viele traditionelle Sicherheitsbarrieren umgeht.weil die Infektionskette offenbar vom Benutzer selbst ausgeht und nicht von einer heruntergeladenen Datei oder einer klassischen Sicherheitslücke.

Es muss sich nicht zwangsläufig um einen verdächtigen Anhang oder eine direkt vom Browser heruntergeladene ausführbare Datei handeln.Das bedeutet, dass viele E-Mail-Filter, Download-Blocker und URL-Reputationsprüfungen in dieser ersten Phase nichts offensichtlich Bösartiges erkennen.

Der Befehl wird über eine „vertrauenswürdige Shell“ des Systems ausgeführt, beispielsweise PowerShell, cmd.exe oder die Browserkonsole.Dadurch erhält Schadsoftware den Anschein legitimer Aktivitäten und erschwert die Arbeit signaturbasierter Antivirenprogramme sowie einiger Sicherheitslösungen, die bei der Verhaltensanalyse nicht sehr gut sind.

Sicherheitsprodukte erkennen die Bedrohung typischerweise erst, nachdem die Schadsoftware bereits ausgeführt wurde. oder Versuche, sich in geschützte Prozesse einzufügen, kritische Dateien wie die Hosts-Datei zu verändern, Persistenz herzustellen oder mit einem C2-Server zu kommunizieren; das heißt, in einer Phase nach der Ausnutzung.

Bis dahin könnte der Angreifer bereits erheblichen Zugriff auf das System erlangt haben.: Erhöhung von Berechtigungen, Diebstahl von Zugangsdaten, seitliche Bewegung innerhalb des Unternehmensnetzwerks oder sogar der Versuch, Antivirenprogramme und andere Verteidigungsebenen zu deaktivieren.

Wo ClickFix in der Praxis zum Einsatz kommt: gängige Kanäle und Köder

Untersuchungen verschiedener Sicherheitslabore haben gezeigt, dass ClickFix in einer Vielzahl von Kampagnen eingesetzt wird., das sich sowohl an Privatanwender als auch an Unternehmen in kritischen Sektoren richtet.

Angreifer nutzen diese Kanäle häufig, um ihre ClickFix-Köder einzusetzen.:

• Legitime Websites kompromittiertDabei werden JavaScript-Frameworks wie ClearFake eingebunden, um gefälschte Update- oder Verifizierungsbenachrichtigungen anzuzeigen.
• Bösartige Werbung (Malvertising)insbesondere Banner und gesponserte Anzeigen, die auf gefälschte Software-Download- oder Browser-Validierungsseiten weiterleiten.
• Anleitungen und Videos auf YouTube oder TikTok, mit angeblichen Tricks, um Software zu aktivieren oder Premium-Funktionen kostenlos freizuschalten.
• Gefälschte technische Supportforen und Websites, die Hilfeportale imitieren, wo es "empfohlen" wird, Befehle zur Behebung von Systemfehlern auszuführen.

In Lateinamerika sind bereits Fälle dokumentiert worden, in denen offizielle Webseiten und Universitätswebseiten kompromittiert wurden.Beispielsweise die Website der Fakultät für Wirtschaftsingenieurwesen der Katholischen Universität von Chile oder die Website des Polizeiwohnungsfonds von Peru, die ihren Besuchern schließlich ClickFix-Flows anzeigten.

US-Sicherheitsbehörden haben vor Kampagnen gewarnt, die sich gegen Nutzer richten, die nach Spielen, PDF-Readern, Web3-Browsern oder Messaging-Apps suchen.Dies alles geschieht durch Ausnutzen alltäglicher Suchanfragen, um auf Seiten umzuleiten, die ClickFix implementieren.

Es wurden auch Kampagnen beobachtet, die auf vermeintlichen Google Meet-, Zoom-, DocuSign-, Okta-, Facebook- oder Cloudflare-Seiten basieren., wobei ein Browserfehler oder eine CAPTCHA-Verifizierung angezeigt wird, wodurch der Benutzer gezwungen ist, die Abfolge des Kopierens und Ausführens von Befehlen zu befolgen.

Die am häufigsten mit ClickFix verbreitete Malware

ClickFix ist selten der einzige Bestandteil des Angriffs.Es handelt sich dabei in der Regel lediglich um den initialen Vektor, der die Ausbreitung einer mehrstufigen Infektionskette mit einer Vielzahl von Schadprogrammen ermöglicht.

Zu den prominentesten Familien, die in den jüngsten Kampagnen beobachtet wurden, gehören::

• Infostealer wie Vidar, Lumma, Stealc, Danabot, Atomic Stealer oder Odyssey Stealer, spezialisiert auf den Diebstahl von Browser-Zugangsdaten, Cookies, Autofill-Daten, Kryptowährungs-Wallets, VPN- und FTP-Zugangsdaten usw.
• RATs (Remote-Access-Trojaner) wie NetSupport RAT oder ARECHCLIENT2 (SectopRAT)die es Angreifern ermöglichen, das System zu kontrollieren, Befehle auszuführen, Informationen zu exfiltrieren und nachfolgende Phasen, einschließlich Ransomware, einzuleiten.
• Erweiterte Loader wie GHOSTPULSE, Latrodectus oder ClearFakedie als Klebstoff fungieren, indem sie die folgenden Teile herunterladen, entschlüsseln und in den Speicher laden, oft mit sehr aufwendigen Verschleierungs- und Verschlüsselungsschichten.
• Werkzeuge zum Diebstahl von Finanz- und Unternehmensinformationen, die Daten aus Formularen, E-Mail-Clients, Messengern und Geschäftsanwendungen extrahieren.

Bei aktiven Kampagnen in den Jahren 2024 und 2025 wurde beobachtet, dass ClickFix komplexe Transaktionsketten speist.Beispielsweise lädt ein ClickFix-Köder, der PowerShell startet, eine ZIP-Datei herunter, die eine legitime ausführbare Datei (wie etwa die Java-Datei jp2launcher.exe) und eine bösartige DLL enthält, und führt durch Sideloading schließlich NetSupport RAT auf dem Computer aus.

Ein weiterer häufiger Anwendungsfall ist die Verwendung von MSHTA mit verschleierten URLs zu Domains wie iploggerco., die legitime IP-Kürzungs- oder Registrierungsdienste imitieren; von dort wird ein Base64-kodiertes PowerShell-Skript heruntergeladen, das schließlich Lumma Stealer-Stager oder ähnliche freisetzt.

Praxisbeispiele und ausgewählte Kampagnen mit ClickFix

Berichte mehrerer Incident-Response-Teams und Sicherheitslabore haben mehrere hochaktive Kampagnen identifiziert. die ClickFix als Einstiegspunkt nutzen.

Im Wirtschaftssektor wurden bemerkenswerte Auswirkungen in Bereichen wie beispielsweise Spitzentechnologie, Finanzdienstleistungen, Fertigung, Einzel- und Großhandel, öffentliche Verwaltung, freiberufliche und juristische Dienstleistungen, Energie und Versorgung, unter anderem.

In einer Kampagne im Mai 2025 nutzten Angreifer ClickFix, um NetSupport RAT zu installieren. durch gefälschte Seiten, die sich als DocuSign und Okta ausgaben, wobei die mit dem ClearFake-Framework verbundene Infrastruktur ausgenutzt wurde, um JavaScript einzuschleusen, das die Zwischenablage manipulierte.

Im März und April 2025 wurde ein Anstieg des Datenverkehrs auf Domains dokumentiert, die von der Familie Latrodectus kontrolliert werden., die ClickFix als erste Zugriffsmethode einsetzten: Ein kompromittiertes Portal wurde auf eine gefälschte Verifizierungsseite umgeleitet, das Opfer führte eine PowerShell-Anweisung über Win+R aus, wodurch eine MSI-Datei heruntergeladen wurde, die die schädliche DLL libcef.dll enthielt.

Parallel dazu wurden Typosquatting-Kampagnen im Zusammenhang mit Lumma Stealer entdeckt.Bei diesen Angriffen wurden die Opfer aufgefordert, MSHTA-Befehle auszuführen, die auf Domains verwiesen, die iplogger imitierten; diese Befehle luden stark verschleierte PowerShell-Skripte herunter, die schließlich Pakete mit ausführbaren Dateien wie PartyContinued.exe und CAB-Inhalten (Boat.pst) dekomprimierten, um eine AutoIt-Skript-Engine einzurichten, die für den Start der endgültigen Version von Lumma verantwortlich war.

Elastic Security Labs hat auch Kampagnen beschrieben, bei denen ClickFix als erster Anknüpfungspunkt für GHOSTPULSE dient.der wiederum einen Zwischenlader vom Typ .NET lädt und schließlich ARECHCLIENT2 in den Speicher injiziert, wobei Mechanismen wie AMSI durch Hooking und fortgeschrittene Verschleierung umgangen werden.

Im Endbenutzerbereich haben mehrere Anbieter vereinfachte Beispiele des ClickFix-Angriffs gezeigt. Dabei kopiert eine „Browser-Update“-Seite oder ein gefälschtes CAPTCHA im Hintergrund ein Skript in die Zwischenablage und zwingt den Benutzer anschließend, es mit Administratorrechten in PowerShell einzufügen, wodurch es einfacher wird, eine Verbindung zur C2-Infrastruktur herzustellen und systemverändernde ausführbare Dateien herunterzuladen.

Ein besonders besorgniserregendes Phänomen ist das Aufkommen von ClickFix auf TikTok.Videos, die sogar mithilfe von KI erstellt wurden, werben mit „einfachen Methoden“ zur Aktivierung kostenloser kostenpflichtiger Versionen von Office, Spotify Premium oder Bearbeitungsprogrammen, leiten die Nutzer aber in Wirklichkeit dazu an, schädliche Befehle zu kopieren und einzufügen, die Infostealer wie Vidar oder Stealc installieren.

Wie Analysten ClickFix-Infektionen erkennen

Auch wenn es dem Benutzer wie schwarze Magie erscheinen mag, hinterlassen ClickFix-Infektionen eine technische Spur. dass Bedrohungsanalyseteams und EDRs den Vorfall erkennen können.

In Windows-Umgebungen ist einer der Analysepunkte der Registrierungsschlüssel RunMRU., in dem die zuletzt im Ausführen-Fenster (Win+R) ausgeführten Befehle gespeichert werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analysten überprüfen diese Einträge auf verdächtige Muster.: Verschleierte Befehle, Verwendung von PowerShell oder MSHTA mit ungewöhnlichen URLs, Aufrufe unbekannter Domänen oder Verweise auf administrative Tools, die der normale Benutzer üblicherweise nicht verwendet.

Wenn Angreifer die Tastenkombination Win+X (Schnellzugriffsmenü) verwenden, um PowerShell oder die Eingabeaufforderung zu startenDer Hinweis findet sich in der Prozesstelemetrie: Ereignisse der Prozesserstellung (wie z. B. die ID 4688 im Windows-Sicherheitsprotokoll), bei denen explorer.exe direkt nach dem Drücken von Win+X powershell.exe startet.

Die Korrelation mit anderen Ereignissen, wie z. B. dem Zugriff auf den Ordner %LocalAppData%\Microsoft\Windows\WinX\ oder verdächtigen Netzwerkverbindungen nach dieser AusführungDies hilft dabei, das typische Verhalten einer ClickFix-Infektion zu beschreiben, insbesondere wenn unmittelbar danach Prozesse wie certutil.exe, mshta.exe oder rundll32.exe auftreten.

Ein weiterer Erkennungsvektor ist der Missbrauch der Zwischenablage.Fortschrittliche URL-Filter- und DNS-Sicherheitslösungen können JavaScript erkennen, das versucht, schädliche Befehle in die Zwischenablage einzuschleusen, wodurch die Seite blockiert wird, bevor der Benutzer die Befehlsfolge abschließen kann.

Was versuchen Angreifer mit der ClickFix-Technik zu erreichen?

Hinter all diesen Social-Engineering-Maßnahmen verbirgt sich ein klares Ziel: aus gestohlenen Informationen wirtschaftliche Vorteile zu ziehen., sowohl von einzelnen Nutzern als auch von Organisationen.

Über ClickFix eingesetzte Infostealer sind darauf ausgelegt, Anmeldeinformationen, Cookies und sensible Daten zu sammeln. gespeichert in Browsern, E-Mail-Clients, Unternehmensanwendungen oder Kryptowährungs-Wallets sowie in internen Dokumenten und Finanzdaten.

Mit diesem Material können böswillige Akteure vielfältige kriminelle Aktivitäten durchführen.:

• Erpressung von UnternehmenDrohung, vertrauliche Informationen über die Organisation oder ihre Kunden preiszugeben.
• Um direkten Finanzbetrug zu begehen durch Ausnutzung kompromittierter Bankkonten, Online-Zahlungssysteme oder Krypto-Wallets.
• Sich als Mitarbeiter des Unternehmens oder seiner Angestellten ausgeben Betrugshandlungen gegen Dritte durchzuführen, wie beispielsweise den typischen CEO-Betrug oder BEC-Angriffe.
• Verkauf von Zugangsdaten und Datenpaketen im Darknet die andere kriminelle Gruppen bei zukünftigen Angriffen einsetzen werden.
• Zur Durchführung von Industrie- oder geopolitischer Spionage wenn es sich bei dem Ziel um eine bestimmte Organisation oder einen strategischen Sektor handelt.

In vielen dokumentierten Kampagnen war ClickFix lediglich der erste Schritt zu größeren Angriffen.Einschließlich Ransomware-Einsatz nach dem Diebstahl von Zugangsdaten, dem längerfristigen Zugriff auf Unternehmensnetzwerke oder der Nutzung der kompromittierten Infrastruktur als Ausgangspunkt für andere Ziele.

Wie können sich Nutzer und Unternehmen vor ClickFix schützen?

Die Abwehr von ClickFix erfordert Technologie, bewährte Vorgehensweisen und ein hohes Maß an Bewusstsein.Denn die Schwachstelle, die diese Technik ausnutzt, ist genau das Verhalten des Benutzers.

Auf individueller Ebene gibt es einige sehr einfache goldene Regeln. wodurch das Sturzrisiko erheblich verringert wird:

• Fügen Sie niemals Code in eine Konsole (PowerShell, cmd, Terminal, Browserkonsole) ein, nur weil eine Webseite Sie dazu auffordert.so legitim es auch erscheinen mag.
• Seien Sie vorsichtig bei Cloudflare-Verifizierungen, CAPTCHAs oder "Browser-Update"-Seiten, die zu ungewöhnlichen Schritten auffordern. mehr als nur ein Kästchen oder einen Knopf anzuklicken.
• Halten Sie Ihren Browser, Ihr Betriebssystem und Ihre Anwendungen stets auf dem neuesten Stand.Installieren Sie Patches nur von offiziellen Quellen und nicht über zufällige Banner oder Pop-ups.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für wichtige Konten., um es den Angreifern selbst dann schwerer zu machen, wenn es ihnen gelingt, das Passwort zu stehlen.

Im Unternehmensumfeld sollten Unternehmen zusätzlich zu diesen Empfehlungen noch einen Schritt weiter gehen. und ClickFix als konkrete Bedrohung in ihre Sicherheitsstrategie einbeziehen.

Einige wichtige Maßnahmen für Organisationen sind:

• Beschränken Sie die Verwendung von Befehlsausführungstools (PowerShell, cmd, MSHTA). durch Gruppenrichtlinien, Anwendungssteuerungslisten oder EDR-Konfigurationen, sodass nur technische Profile sie verwenden und die Aktivität immer protokolliert wird.
• Implementieren Sie moderne Antimalware- und EDR-Lösungen mit verhaltensbasierten Erkennungsfunktionen, die in der Lage sind, verdächtige Ausführungsmuster auch dann zu identifizieren, wenn der Benutzer eingreift.
• Netzwerkverkehr und ausgehende Verbindungen zu Domains mit schlechtem Ruf überwacheninsbesondere gegenüber URL-Kürzungsdiensten, neu registrierten Domains oder ungewöhnlichen TLDs.
• Überprüfen Sie regelmäßig Artefakte wie RunMRU, PowerShell-Protokolle und Sicherheitsereignisse. um Anzeichen für den Missbrauch von Win+R, Win+X oder administrativen Konsolen zu erkennen.

Eine grundlegende Säule ist die kontinuierliche und realitätsnahe Weiterbildung der Mitarbeiter.Ein theoretischer Kurs reicht nicht aus; sinnvoll ist es, kontrollierte Social-Engineering-Tests durchzuführen, die ClickFix-ähnliche Kampagnen, CEO-Betrug, fortgeschrittenes Phishing oder Malvertising simulieren.

Mithilfe dieser Simulationen können wir den Reifegrad der Belegschaft im Hinblick auf diese Techniken messen.Passen Sie die Strategie zur Sensibilisierung an, identifizieren Sie Bereiche mit erhöhtem Risiko und stärken Sie die Kultur des „Innehalten und Nachdenkens“, bevor Sie verdächtigen Anweisungen auf einer Website oder in einer E-Mail folgen.

Darüber hinaus ist es unerlässlich, dass Unternehmen in der Lage sind, schnell auf einen Vorfall zu reagieren.: über klare Reaktionspläne, spezialisierte Teams oder Anbieter sowie klar definierte Eindämmungs- und Beseitigungsprozesse verfügen, falls ein möglicher ClickFix-Fall oder ein anderer Angriffsvektor entdeckt wird.

Die zunehmende Verbreitung der ClickFix-Technik macht deutlich, dass Angreifer einen sehr effektiven Weg gefunden haben, den Benutzer zu einem unwissenden Komplizen zu machen.Und sie zögern nicht, dies mit ausgeklügelter Malware, dynamischen C2-Infrastrukturen und massiven Kampagnen in sozialen Netzwerken oder Suchmaschinen zu kombinieren; das Verständnis ihrer Funktionsweise, das Erkennen ihrer Signale und die Stärkung sowohl der Technologie als auch der Schulung der Nutzer machen heute den Unterschied zwischen einem schwerwiegenden Sicherheitsvorfall und der rechtzeitigen Abwehr des Angriffs aus.

Verwandte Artikel:

Wie Sie sich vor Interlock- und Warlock-Ransomware schützen können: Ein taktischer und praktischer Leitfaden