Eine neue Betrugsmasche verbreitet sich mit alarmierender Geschwindigkeit: Cyberkriminelle täuschen Internetnutzern Sicherheitsabfragen vor, um sie zur Ausführung von Schadcode zu verleiten. Laut aktuellem ESET Threat Report sind die Angriffe in nur sechs Monaten um über 500 Prozent gestiegen – mit fatalen Folgen für Windows-, macOS- und Linux-Nutzer gleichermaßen.
Mit harmlos wirkenden Sicherheitsabfragen tricksen Online-Kriminelle derzeit weltweit Internetnutzer aus. Die Angriffe sehen täuschend echt aus – und das ist auch das Gefährliche daran: Statt echter CAPTCHAs tauchen gefälschte Sicherheitsmeldungen auf, die zur Ausführung von Schadcode auffordern. Hinter dem Namen „ClickFix“ verbirgt sich eine ausgeklügelte Masche, die nicht nur private Nutzer betrifft, sondern zunehmend auch im Kontext staatlich unterstützter Hackergruppen auftaucht.
Die Betrugsmasche nutzt bekannte Sicherheitsmechanismen wie CAPTCHAs, um Vertrauen zu wecken. Diese Abfragen – etwa Bilderrätsel oder Texteingaben – sollen üblicherweise Bots von Menschen unterscheiden und Schutz vor Spam oder Angriffen bieten. ClickFix imitiert dieses Prinzip, indem es auf manipulierten Webseiten oder über gefälschte E-Mail-Anhänge vermeintliche CAPTCHAs und Fehlermeldungen anzeigt. Nutzer werden dazu aufgefordert, einen angezeigten Befehl im Terminal oder der Eingabeaufforderung auszuführen, um einen angeblichen Fehler zu beheben.
Foto: ESET
So sehen die Fake-Captchas aus
Quelle: ESET
Die Abbildung zeigt wie typische Fake-Captchas aussehen
Die Angreifer nutzen täuschend echte Nachbildungen bekannter Plattformen wie Booking.com oder Google Meet. Auch kompromittierte Webseiten und Anhänge, die wie Word- oder Onedrive-Dokumente aussehen, werden gezielt eingesetzt. Einmal ausgeführt, öffnet der Befehl den Weg für Schadprogramme.
ClickFix macht keinen Halt vor Betriebssystemen: Die Masche trifft neben Windows auch macOS- und Linux-Nutzer. Für letztere werden spezifische Tricks angewendet, etwa durch missbrauchte Alt+F2-Befehle in Linux-Desktops.
IT-Sicherheitsexperte Jiří Kropáč von ESET betont die Gefährlichkeit der Methode: „Gerade weil solche Fehlermeldungen alltäglich geworden sind, wirken sie auf viele harmlos. Genau das macht ClickFix so gefährlich.“
Nicht nur gewöhnliche Cyberkriminelle setzen die Masche ein. Der ESET Report nennt auch staatlich unterstützte Hackergruppen wie Lazarus und Kimsuky aus Nordkorea, Callisto und Sednit aus Russland sowie MuddyWater aus dem Iran, die ClickFix für gezielte Infektionen nutzen.
Einmal ausgeführt, installieren sich über ClickFix unterschiedlichste Schadprogramme: Darunter Infostealer wie Lumma, Spionagetools wie Cobalt Strike, Cryptominer und Remote-Access-Trojaner wie AsyncRAT. Immer häufiger wird auch Ransomware genutzt – zuletzt etwa die Erpressersoftware Interlock.
Die Angriffe rangieren mittlerweile auf Platz zwei der häufigsten digitalen Bedrohungen – direkt hinter Phishing. Unternehmen und Nutzer sind gleichermaßen betroffen und sollten besonders wachsam sein. Jiří Kropáč warnt eindringlich: „Wenn eine Webseite Sie auffordert, etwas in ein Terminal einzufügen – stoppen Sie sofort. Kein seriöser Anbieter verlangt das.“
Um sich zu schützen, empfiehlt ESET, PowerShell-Befehle in Unternehmensumgebungen mit EDR-Lösungen zu überwachen sowie E-Mail-Anhänge und URLs konsequent abzusichern.
Ausführliche Analysen und Schutzempfehlungen bietet ESET im Blog.
