{"id":32969,"date":"2025-12-09T11:59:08","date_gmt":"2025-12-09T09:59:08","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32969"},"modified":"2025-12-09T11:59:08","modified_gmt":"2025-12-09T09:59:08","slug":"filefix-attack-windows-file-explorer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/filefix-attack-windows-file-explorer\/32969\/","title":{"rendered":"FileFix: eine neue ClickFix-Variante"},"content":{"rendered":"

Eben erst haben wir \u00fcber die ClickFix-Technik berichtet<\/a>. Jetzt setzen Angreifer eine neue Variante ein, die von Forschern als \u201eFileFix\u201c bezeichnet wird. Das Prinzip ist unver\u00e4ndert: Das Opfer soll mithilfe von Social-Engineering-Taktiken dazu gebracht werden, unbeabsichtigt b\u00f6sartigen Code auf seinem Ger\u00e4t auszuf\u00fchren. Der Unterschied zwischen ClickFix und FileFix besteht darin, wo der Befehl ausgef\u00fchrt wird.<\/p>\n

Bei ClickFix bringen Angreifer das Opfer dazu, das Windows-Dialogfeld \u201eAusf\u00fchren\u201c zu \u00f6ffnen und dort einen b\u00f6sartigen Befehl einzuf\u00fcgen. Mit FileFix manipulieren sie das Opfer hingegen so, dass es einen Befehl in die Adressleiste von Windows-Explorer einf\u00fcgt. Aus der Sicht des Nutzers erscheint diese Aktion nicht ungew\u00f6hnlich: Das Datei-Explorer-Fenster ist ein bekanntes Element und seine Verwendung erregt keinerlei Verdacht. Nutzer, die den Trick nicht kennen, k\u00f6nnen leicht auf den FileFix-Trick hereinfallen.<\/p>\n

Wie Angreifer das Opfer manipulieren, damit es den Code ausf\u00fchrt<\/h2>\n

Der FileFix-Angriff beginnt ganz \u00e4hnlich wie bei ClickFix: Der Nutzer wird (meistens \u00fcber eine Phishing-E-Mail) auf eine Seite geleitet, die die Website eines legitimen Onlinedienstes nachahmt. Die gef\u00e4lschte Website zeigt eine Meldung an: Angeblich wird der Zugriff auf die normale Funktionalit\u00e4t des Dienstes durch einen Fehler verhindert. Dem Nutzer wird mitgeteilt, dass er eine Reihe von Schritten (zur \u201eUmgebungs\u00fcberpr\u00fcfung\u201c oder \u201eDiagnose\u201c) ausf\u00fchren muss, um das Problem zu beheben.<\/p>\n

Dazu soll der Nutzer eine bestimmte Datei ausf\u00fchren, die sich nach Angaben der Angreifer entweder bereits auf dem Computer des Opfers befindet oder gerade heruntergeladen wurde. Der Nutzer muss nur noch den Pfad der lokalen Datei kopieren und in die Adressleiste von Windows-Explorer einf\u00fcgen. In dem Feld, aus dem der Nutzer die Zeichenfolge kopieren soll, wird tats\u00e4chlich der Pfad dieser Datei angezeigt. Darum hei\u00dft der Angriff auch \u201eFileFix\u201c. Anschlie\u00dfend wird der Nutzer aufgefordert, den Datei-Explorer zu \u00f6ffnen, mit der Tastenkombination [STRG] + [L] in die Adressleiste zu wechseln, den \u201eDateipfad\u201c mit [STRG] + [V] einzuf\u00fcgen und die Eingabetaste zu dr\u00fccken.<\/p>\n

Was ist der Trick? In der Adresszeile ist nur der Dateipfad sichtbar. Er ist aber nur ein Teil eines viel l\u00e4ngeren Befehls. Vor dem Dateipfad stehen viele Leerzeichen und davor befindet sich der eigentlich b\u00f6sartige Code, den die Angreifer ausf\u00fchren wollen. Aufgrund der Leerzeichen sieht der Nutzer nichts Verd\u00e4chtiges, nachdem er den Befehl eingef\u00fcgt hat. Da die vollst\u00e4ndige Zeichenfolge erheblich l\u00e4nger ist als der sichtbare Bereich der Adressleiste, ist nur der harmlose Dateipfad zu sehen. Der gesamte Inhalt ist nur sichtbar, wenn die Informationen nicht in das Fenster des Datei-Explorers eingef\u00fcgt werden, sondern in eine Textdatei. In einem Artikel von Bleeping Computer<\/a>, der auf Recherchen von Expel basiert, wurde beispielsweise festgestellt, dass der eigentliche Befehl ein PowerShell-Skript \u00fcber conhost.exe startet.<\/p>\n

\"Beispiel<\/a>

Der Nutzer glaubt, dass er einen Dateipfad einf\u00fcgt, der Befehl enth\u00e4lt jedoch ein PowerShell-Skript. Quelle <\/a><\/p><\/div>\n

Was passiert nach der Ausf\u00fchrung des b\u00f6sartigen Skripts<\/h2>\n

Ein PowerShell-Skript, das von einem legitimen Nutzer ausgef\u00fchrt wird, kann unterschiedliche Probleme verursachen. Es h\u00e4ngt von den Sicherheitsrichtlinien des Unternehmens, den Berechtigungen des jeweiligen Nutzers und den Sicherheitsl\u00f6sungen, die auf dem Computer des Opfers vorhanden sind, ab. Im zuvor erw\u00e4hnten Fall<\/a> wurde bei dem Angriff eine Technik namens \u201eCache Smuggling\u201c eingesetzt. Dieselbe gef\u00e4lschte Website, die den FileFix-Trick implementierte, speicherte im Browser-Cache eine Datei im jpeg-Format. In Wirklichkeit enthielt die Datei jedoch ein Archiv mit Malware. Anschlie\u00dfend extrahierte das b\u00f6sartige Skript diesen Sch\u00e4dling und f\u00fchrte ihn auf dem angegriffenen Computer aus. Mit dieser Methode kann der b\u00f6sartige Code an den Computer gesendet werden, ohne dass Dateien offen heruntergeladen werden oder verd\u00e4chtige Netzwerkanfragen erfolgen. Eine perfekte Tarnung!<\/p>\n

So sch\u00fctzt du dein Unternehmen vor ClickFix- und FileFix-Angriffen<\/h2>\n

In unserem Artikel \u00fcber den ClickFix-Angriff haben wir als einfachste Verteidigung vorgeschlagen, die Tastenkombination [Win] + [R] auf Unternehmensger\u00e4ten zu sperren. Es kommt \u00e4u\u00dferst selten vor, dass ein normaler B\u00fcromitarbeiter das Dialogfeld \u201eAusf\u00fchren\u201c wirklich ben\u00f6tigt. Im Fall von FileFix ist die Situation etwas komplexer: Einen Befehl in die Adressleiste zu kopieren ist ein ganz normaler Vorgang.<\/p>\n

Das Blockieren der Tastenkombination [STRG] + [L] kann aus zwei Gr\u00fcnden unerw\u00fcnscht sein. Erstens: Diese Kombination wird in verschiedenen Anwendungen h\u00e4ufig f\u00fcr bestimmte legitime Zwecke verwendet. Zweitens: Es w\u00fcrde nicht wirklich helfen, da die Nutzer trotzdem auf die Adressleiste des Datei-Explorers zugreifen k\u00f6nnen. Ganz einfach, per Mausklick. Au\u00dferdem geben Angreifer den Nutzern oft pr\u00e4zise Anweisungen f\u00fcr den Fall, dass die Tastenkombination fehlschl\u00e4gt.<\/p>\n

F\u00fcr einen effektiven Schutz gegen ClickFix, FileFix und \u00e4hnliche Hinterhalte empfehlen wir daher zuallererst den Einsatz einer zuverl\u00e4ssigen Sicherheitsl\u00f6sung<\/a> auf allen Unternehmensger\u00e4ten von Mitarbeitern. Solche L\u00f6sungen erkennen und blockieren gef\u00e4hrlichen Code rechtzeitig.<\/p>\n

Zudem empfehlen wir, das Bewusstsein der Mitarbeiter f\u00fcr moderne Cyberbedrohungen regelm\u00e4\u00dfig zu sch\u00e4rfen \u2013 insbesondere f\u00fcr Social-Engineering-Methoden, wie sie in ClickFix- und FileFix-Szenarien verwendet werden. Mit der Kaspersky Automated Security Awareness Platform<\/a> l\u00e4sst sich die Mitarbeiterschulung automatisieren.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Cyberkriminelle setzen eine neue Variante der ClickFix-Methode ein. Sie hei\u00dft \u201eFileFix\u201c. Wir erkl\u00e4ren, wie das funktioniert und wie du dein Unternehmen dagegen verteidigen kannst.<\/p>\n","protected":false},"author":2726,"featured_media":32970,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[274,124,844,4217,4247,273,33],"class_list":{"0":"post-32969","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-bedrohungen","11":"tag-browser","12":"tag-business","13":"tag-clickfix","14":"tag-filefix","15":"tag-social-engineering","16":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/filefix-attack-windows-file-explorer\/32969\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/filefix-attack-windows-file-explorer\/29814\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/24884\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/13034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/filefix-attack-windows-file-explorer\/29701\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/28791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/filefix-attack-windows-file-explorer\/31673\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/filefix-attack-windows-file-explorer\/30319\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/filefix-attack-windows-file-explorer\/40857\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/filefix-attack-windows-file-explorer\/14081\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/54752\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/filefix-attack-windows-file-explorer\/23419\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/filefix-attack-windows-file-explorer\/24526\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/filefix-attack-windows-file-explorer\/29938\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/filefix-attack-windows-file-explorer\/35648\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/filefix-attack-windows-file-explorer\/35276\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/social-engineering\/","name":"Social Engineering"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32969"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32969\/revisions"}],"predecessor-version":[{"id":32975,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32969\/revisions\/32975"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32970"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}