NAJA x -shutterstock.com
Weniger bekannt als Phishing ist die Social-Engineering-Methode ClickFix. Ziel solcher Attacken ist es, die Opfer dazu zu bewegen, bösartige Befehle in Tools wie PowerShell oder die Windows-Eingabeaufforderung einzufĂŒgen. Die Angriffe beginnen in der Regel, nachdem ein Benutzer eine kompromittierte oder bösartige Website besucht oder einen betrĂŒgerischen Anhang oder Link geöffnet hat. Der Angriffsvektor betrifft alle gĂ€ngigen Betriebssysteme wie Windows, Linux und macOS.
Laut einer Analyse des Sicherheitsanbieters ESET haben ClickFix-Angriffe zwischen Dezember 2024 und Mai 2025 um mehr als 500 Prozent zugenommen. Die Social-Engineering-Taktik war fĂŒr fast acht Prozent aller von dem Anbieter im ersten Halbjahr 2025 blockierten Angriffe verantwortlich.
âDie Liste der Bedrohungen, zu denen ClickFix-Angriffe fĂŒhren, wird von Tag zu Tag lĂ€nger und umfasst Infostealer, Ransomware, Fernzugriffstrojaner, Cryptominer, Post-Exploitation-Tools und sogar maĂgeschneiderte Malware von staatlich gelenkten Bedrohungsakteurenâ, kommentiert JiĆĂ KropĂĄÄ, Director of Threat Prevention Labs bei ESET. ClickFix habe sich schnell zu einem weitverbreitenden Angriffsvektor fĂŒr Cyberkriminelle entwickelt, da die Methode weniger bekannt sei.
âWas diese neue Social-Engineering-Technik so effektiv macht, ist, dass sie einfach genug ist, damit die Opfer die Anweisungen befolgen können. Zudem ist sie glaubwĂŒrdig genug, um wie die Lösung eines erfundenen Problems zu wirken. DarĂŒber hinaus wird ausgenutzt, dass die Opfer nicht genau auf die Befehle achten, die sie auf ihrem GerĂ€t einfĂŒgen und ausfĂŒhren sollenâ, erklĂ€rt DuĆĄan Lacika, Senior Detection Engineer bei ESET, gegenĂŒber CSO.
Angesichts der wachsenden Beliebtheit der Angriffsmethode spekulieren die Sicherheitsforscher, dass Microsoft und Apple, aber auch die Open-Source-Community, GegenmaĂnahmen ergreifen werden. Vorstellbar sei etwa eine Art Sicherheitswarnung, wie sie bereits fĂŒr Makros in Word oder Excel oder fĂŒr aus dem Internet kopierte Dateien verwendet wird, um User darauf hinzuweisen, dass sie dabei sind, ein potenziell gefĂ€hrliches Skript auszufĂŒhren.
GefÀhrliche Payloads
Laut dem Threat-Intelligence-Unternehmen ReliaQuest begĂŒnstigt ClickFix die Verbreitung von Malware wie Lumma und SectopRAT. Die Schadprogramme nutzen vertrauenswĂŒrdige Tools wie MSHTA, um AbwehrmaĂnahmen zu umgehen und Payloads zu verbreiten.
Der Sicherheitsanbieter SentinelLabs zeigt , wie Bedrohungsakteure mit ClickFix wiederholt Anti-Spam-Verifizierungsprozesse ausnutzen, um ihr Repertoire zu erweitern.Â
Da diese Angriffe auch gezielt erfolgen, können sie laut ESET eine Ă€hnliche Bedrohung fĂŒr Unternehmen darstellen wie Spear Phishing.
GegenmaĂnahmen
ClickFix-Angriffe umgehen hĂ€ufig viele Sicherheitstools, da sie auf der Interaktion mit dem Benutzer beruhen. Awareness ist daher das wichtigste Gegenmittel. Anwender gilt es darin zu schulen, verdĂ€chtige Aufforderungen zu erkennen und keinen Code aus zwielichtigen Quellen auszufĂŒhren oder zu kopieren.
SchÀrfere technische Kontrollen können die Angriffe weiter abschwÀchen. Dazu zÀhlen etwa Endpunktschutz, Webfilterung und E-Mail-Sicherheitstechnologien, um den Zugriff auf bekannte bösartige Websites und AnhÀnge zu blockieren. Die PowerShell-Richtlinie im Unternehmen zu verschÀrfen kann ebenfalls helfen, die Bedrohung einzudÀmmen. Um dennoch erfolgreiche Angriffe schnell abzuwehren, sollte die Reaktion im Ernstfall gut geplant werden.
Lacika von ESET erklĂ€rte gegenĂŒber CSO: âBenutzer sollten auch wachsam bleiben, wenn jemand âOne-Klickâ- oder âKopieren-und-EinfĂŒgenâ-Lösungen fĂŒr unbekannte Probleme anbietet. In Unternehmensumgebungen können Endpoint Detection and Response (EDR)-Tools anomale PowerShell-Nutzungen melden â insbesondere auf Rechnern, die diese selten benötigen â und so die Transparenz und den Schutz vor solchen Angriffen verbessern.â (jm)
Â
