Nederlands
English
Français
Deutsch
Español
Português
Microsoft Warnt vor Ausgereiften ClickFix Social Engineering Angriffen
Microsoft hat eine kritische Warnung vor der wachsenden Bedrohung durch ClickFix Social Engineering Angriffe ausgesprochen, die Benutzer manipulieren, bösartige Befehle durch Kopier-Einfüge-Operationen auszuführen. Die Sicherheitsforscher des Technologieunternehmens haben täglich Tausende von Unternehmens- und Consumer-Geräten beobachtet, die durch diese Technik kompromittiert werden.
Wie ClickFix-Angriffe Funktionieren
ClickFix-Angriffe beginnen damit, dass Bedrohungsakteure Phishing-E-Mails, bösartige Werbung oder kompromittierte Websites verwenden, um Opfer zu trügerischen Landing Pages zu leiten. Diese Seiten zeigen typischerweise gefälschte CAPTCHA-Verifizierungsaufforderungen oder Fehlermeldungen, die legitim erscheinen und oft vertrauenswürdige Dienste wie Google reCAPTCHA, Cloudflare Turnstile oder sogar Discord-Serververifizierung nachahmen.
Wenn Benutzer versuchen, diese gefälschten Verifizierungsherausforderungen zu "lösen", kopiert die bösartige Website automatisch einen gefährlichen Befehl in ihre Zwischenablage. Die Anweisungen leiten Benutzer dann an, Windows PowerShell oder das Ausführen-Dialogfeld (Win+R) zu öffnen und den Befehl einzufügen, der sofort Malware auf ihrem System herunterlädt und ausführt.
Malware-Nutzlasten und Konsequenzen
Die Angriffe liefern typischerweise Informationsdiebstahl-Malware wie Lumma Stealer, Lampion oder Atomic macOS Stealer (AMOS), die sensible Anmeldedaten, Browser-Cookies, Kryptowährungs-Wallet-Informationen und andere wertvolle Daten sammeln können. Einige Kampagnen setzen Remote Access Tools (RATs) wie Xworm, AsyncRAT oder NetSupport ein, die Angreifern vollständige Kontrolle über kompromittierte Systeme geben.
Microsofts Analyse zeigt, dass diese Angriffe besonders effektiv sind, weil sie traditionelle Sicherheitslösungen umgehen, indem sie menschliche Interaktion erfordern. Die bösartigen Befehle verwenden oft Living-off-the-Land-Binaries (LOLBins) und ausgeklügelte Verschleierungstechniken, um die Erkennung zu vermeiden.
Multi-Plattform-Bedrohung
Während ursprünglich Windows-Systeme im Visier standen, haben sich ClickFix-Angriffe auf macOS- und Linux-Plattformen ausgeweitet. Die macOS-Variante, Mitte 2025 entdeckt, verwendet ähnliche Social Engineering-Taktiken, setzt aber Befehle ein, die speziell für Unix-basierte Systeme entwickelt wurden, um Sicherheitsschutzmaßnahmen zu umgehen.
Schutz- und Eindämmungsstrategien
Microsoft empfiehlt mehrere defensive Maßnahmen: Organisationen sollten die unnötige Verwendung des Ausführen-Dialogfelds blockieren, Application Control Policies implementieren und umfassende Security Awareness Schulungen bereitstellen. Technische Schutzmaßnahmen umfassen die Aktivierung von Microsoft Defender SmartScreen, Netzwerkschutzfunktionen und PowerShell Script Block Logging.
Benutzer sollten vorsichtig sein beim Kopieren und Einfügen von Befehlen von unbekannten Websites und sollten die Legitimität von Verifizierungsaufforderungen überprüfen, bevor sie mit ihnen interagieren. Enterprise-Sicherheitsteams sollten RunMRU-Registrierungseinträge auf verdächtige Befehlsausführungsmuster überwachen.
