StartCyber Crime«ClickFix» – Wenn eine vermeintliche Fehlerbehebung oder Verifikation eine Malware installiert

«ClickFix» – Wenn eine vermeintliche Fehlerbehebung oder Verifikation eine Malware installiert

Cyber CrimeData PrivacyNews

Published on

By Editorial Office
2 min.
User Terminal
User Terminal

Aktuell beobachtet das BACS eine Zunahme von Meldungen zu der Infektionsmethode «ClickFix». Dabei werden Nutzerinnen und Nutzer durch vorgetäuschte technische Probleme dazu verleitet, schädlichen Code selbstständig in die Kommandozeile ihres Computers einzufügen und auszuführen. Die Masche umgeht geschickt technische Sicherheitsmassnahmen, da die Opfer die Infektion ihres Systems faktisch selbst autorisieren.

Hinter dem Begriff «ClickFix» verbirgt sich eine raffinierte Social-Engineering-Taktik. Der Name «ClickFix» beschreibt eine eine schnelle Lösung für ein technisches Problem («Fix»), dass durch einen einfachen Klick («Click») angeboten wird. Die Angreifer manipulieren legitime, aber schlecht gesicherte Webseiten oder schalten Werbeanzeigen, die auf präparierte Seiten führen. Sobald eine Person die Seite besucht, erscheint ein täuschend echt aussehendes Overlay-Fenster oder ein Pop-Up-Fenster.

Laut den Angaben in diesem Fenster liegt ein technisches Problem vor – etwa ein fehlgeschlagenes Browser-Update, ein DNS-Fehler, ein Problem beim Darstellen der Inhalte oder am häufigsten, dass ein angebliches CAPTCHA zu lösen sei. Um das Problem zu beheben, wird dem Nutzer eine Schaltfläche eingeblendet.

Vom Browser in die Kommandozeile

Nutzerinnen und Nutzer ahnen dabei nicht, dass das Öffnen der Webseite bereits einen bösartigen «PowerShell»-Befehl (für Windows) oder einen «Terminal»-Befehl (für macOS) in die Zwischenablage kopiert hat. Das Opfer wird dann angewiesen, unscheinbare Tastenkombinationen zu tätigen. Diese Tastenkombinationen haben es aber in sich. Auf diese Weise wird die Konsole geöffnet und der zuvor in die Zwischenablage kopierte Code eingefügt. Durch das Drücken der Enter-Taste wird der Befehl dann auch gleich ausgeführt und Schadcode geladen.

Schadenspotential

Sobald der Befehl ausgeführt wird, versucht das Skript, eine Verbindung mit einem Server aufzubauen und ein bösartiges Programm herunterzuladen. Während der direkte Download einer Schadsoftware durch Antivirenprogramme oft blockiert wird, stammt der Befehl für den Download nun direkt vom Benutzer im Kontext seiner eigenen Berechtigungen, so dass viele Sicherheitsmechanismen nicht Alarm schlagen. Dabei wird meist ein sogenannter «Infostealer» nachgeladen. Diese Schadsoftware ist darauf spezialisiert, Passwörter aus Browsern auszulesen, Krypto-Wallets zu leeren oder Sitzungs-Cookies aus den Internet-Browsern zu stehlen, mit denen sich Angreifer ohne Passwort in Konten (z. B. E-Mail oder Firmensysteme) einloggen können. In Firmennetzwerken kann dies zudem der erste Schritt für eine spätere Ransomware-Attacke sein.

Erweiterte Methode: «CrashFix»

Seit Anfang des Jahres haben sich zusätzliche Vorgehensweisen etabliert. Eine dieser Methoden ist unter dem Namen «CrashFix» bekannt. Dabei werden manipulierte Browser-Erweiterungen verbreitet, die als nützliche Tools wie zum Beispiel Werbeblocker getarnt sind. Diese Erweiterungen sind so programmiert, dass sie mit einer Zeitverzögerung absichtlich einen Browserabsturz verursachen. Nach dem Neustart des Browsers erscheint eine Meldung, die den Nutzer dazu auffordert, den angeblichen Fehler durch die Eingabe bestimmter Befehle zu «reparieren». In Wahrheit ermöglichen diese Befehle ebenfalls die Installation von Schadsoftware.

Empfehlungen

  • Seien Sie misstrauisch, wenn auf Webseiten behauptet wird, Ihr Browser müsse aktualisiert werden oder ein Fehler könne nur durch das Ausführen von Befehlen behoben werden. Offizielle Browser-Updates laufen über die internen Einstellungen des Browsers ab, nie über eine Webseite.
  • Kopieren Sie niemals Code oder Befehle aus unbekannten Quellen direkt in die «PowerShell», das «Terminal» oder die Eingabeaufforderung.
  • Installieren Sie keine Programme aus unbekannten Quellen.
  • Informieren Sie Mitarbeitende über diese spezifische Masche. Das Bewusstsein, dass eine Webseite niemals dazu auffordern würde, manuell Befehle im System einzugeben, ist der beste Schutz.
  • In Unternehmensumgebungen sollte geprüft werden, ob die Ausführung von «PowerShell»-Skripten für normale Benutzer eingeschränkt werden kann.
  • Sollten Sie Opfer einer solchen Attacke geworden sein, melden Sie den Vorfall.
Source://Bundesamt für Cybersicherheit (BACS)

More like this

Cyber Crime

Neue Android-Malware Keenadu: Teils auf Geräten vorinstalliert – auch in Deutschland entdeckt

Kaspersky hat eine neue Malware-Familie für Android-Geräte entdeckt. Seit Februar 2026 haben die Sicherheitslösungen des Unternehmens mehr als 13.000 infizierte Geräte mit der als „Keenadu“ bezeichneten Schadsoftware erkannt; Deutschland...
Outbound Links

Cracks in Social Media Platforms Allow Kids Under 13 Access to Content on Fraud, Drugs and Other Illicit Activity

Outbound Links

Gefälschte Dating-App dient als Spionagewerkzeug

Outbound Links

Android Mobile Adware Surges in Second Half of 2025

Load more
Cyber Security

Splunk Report: Agentic AI Takes Center Stage in CISOs’ Path to Digital Resilience

SAN JOSE, Calif. – Cisco today announced the release of Splunk’s annual report,The CISO Report: From Risk to Resilience in the AI Era, surveying 650 global Chief Information Security...

< recent >

Outbonds

Releases

Updates

< most read >

Outbonds

Releases

Updates

< icymi >

Load more
Load more

outbonds

Load more

releases

Load more

updates

Load more