ClickFix: Neue Social-Engineering-Taktik zielt auf menschliche Schwachstellen

24. Juni 2025

Darktrace warnt vor raffinierter Angriffsmethode – auch APT-Gruppen involviert + Cyberkriminelle setzen verstärkt auf eine perfide Social-Engineering-Technik namens ClickFix, um menschliche Fehler gezielt auszunutzen. Dabei werden Nutzer durch täuschend echte Eingabeaufforderungen dazu verleitet, selbst bösartigen Code auszuführen – meist, ohne sich dessen bewusst zu sein. Die Cybersicherheitsfirma Darktrace hat diese Angriffsmethode in aktuellen Untersuchungen detailliert analysiert.

Mensch als Einfallstor: So funktioniert ClickFix

Bei ClickFix-Kampagnen setzen Angreifer auf alltäglich wirkende Interaktionen – etwa gefälschte CAPTCHA-Abfragen oder Supporthinweise – um Nutzer zur Eingabe bösartiger Befehle zu bewegen. Die Methode kommt vor allem in Spear-Phishing-E-Mails oder über Plattformen wie GitHub zum Einsatz und umgeht dabei klassische Sicherheitssysteme oft mit erschreckender Leichtigkeit.

In einem typischen Ablauf werden die Opfer Schritt für Schritt durch einen dreistufigen Prozess geführt: Sie öffnen ein Windows-Ausführungsfenster, fügen einen vorgegebenen PowerShell-Befehl ein und führen ihn aus. Das Resultat: die unbemerkte Installation von Malware wie XWorm, Lumma oder AsyncRAT, die Zugang zum System verschafft.

APT-Gruppen auf dem Vormarsch

Die Technik wird nicht nur von Einzelhackern genutzt – auch staatlich unterstützte Gruppen wie APT28 (mit Russland in Verbindung gebracht) und MuddyWater (Iran) setzen sie gezielt ein. Die Angriffe richten sich branchenübergreifend gegen Unternehmen aus dem Gesundheitswesen, der Automobilbranche, dem öffentlichen Sektor und dem Gastgewerbe – mit globaler Verbreitung.

Darktrace erkennt Angriffsketten in Echtzeit

Darktrace konnte mithilfe seiner anomaliebasierten Erkennungstechnologie mehrere ClickFix-Angriffe in Europa, Nordamerika, dem Nahen Osten und Afrika identifizieren. In einem dokumentierten Fall vom 9. April 2025 wurde ein neuartiger PowerShell-User-Agent entdeckt, der über eine kompromittierte Maschine mit verdächtigen C2-Endpunkten kommunizierte. Dabei wurden Dateien mit typischen Malware-Mustern heruntergeladen und Daten an eine bekannte IP-Adresse exfiltriert.

Autonome Abwehr reagiert blitzschnell

Dank des autonomen Reaktionssystems konnte Darktrace die Verbindung zu den bösartigen Endpunkten innerhalb von Sekunden unterbrechen – noch bevor sich der Angriff weiter entfalten konnte. Ohne diese Automatisierung, so das Unternehmen, wären manuelle Gegenmaßnahmen oft zu langsam, um schwerwiegenden Schaden zu verhindern.

Fazit: Prävention braucht KI-gestützte Wachsamkeit

ClickFix zeigt einmal mehr, wie geschickt Angreifer menschliche Verhaltensmuster ausnutzen, um an Unternehmensdaten zu gelangen. Nur durch adaptive, anomaliebasierte Sicherheitslösungen, die kontinuierlich vom Verhalten einzelner Geräte lernen, lassen sich solche neuartigen Taktiken zuverlässig erkennen und stoppen. Darktrace sieht sich mit seinem Ansatz gut aufgestellt, um künftigen Angriffswellen wie ClickFix effektiv zu begegnen.

---

Was ist ClickFix und wie funktioniert es?

Angesichts des gestiegenen Sicherheitsbewusstseins suchen Angreifer weiterhin nach heimlichen Methoden, um in Zielnetzwerke einzudringen, wobei sie oft den menschlichen Endbenutzer als den verwundbarsten und am leichtesten auszunutzenden Einstiegspunkt betrachten.

ClickFix-Baiting ist eine Ausnutzung des Endbenutzers, bei der Social-Engineering-Techniken in Form von Fehlermeldungen oder routinemäßigen Überprüfungsprozessen eingesetzt werden, die zur Ausführung von Schadcode führen können.

Seit März 2024 hat die Einfachheit dieser Technik die Aufmerksamkeit einer Reihe von Angreifern auf sich gezogen, von einzelnen Cyberkriminellen bis hin zu Advanced Persistent Threat (APT)-Gruppen wie APT28 und MuddyWater, die mit Russland bzw. dem Iran in Verbindung stehen und Sicherheitsbedrohungen in größerem Umfang verursachen. ClickFix-Kampagnen wurden in Unternehmen verschiedener Branchen beobachtet, darunter im Gesundheitswesen, im Gastgewerbe, in der Automobilindustrie und in Behörden.

Die Akteure, die diese gezielten Angriffe durchführen, verwenden in der Regel ähnliche Techniken, Tools und Verfahren (TTPs), um sich ersten Zugriff zu verschaffen. Dazu gehören Spear-Phishing-Angriffe, Drive-by-Compromises oder die Ausnutzung des Vertrauens in bekannte Online-Plattformen wie GitHub, um schädliche Payloads zu verbreiten. Häufig leiten versteckte Links in E-Mails oder Malvertisements auf kompromittierten legitimen Websites den Endbenutzer auf eine schädliche URL weiter. Diese haben die Form von „Fix It”- oder gefälschten CAPTCHA-Aufforderungen.

Von dort aus werden die Benutzer dazu verleitet, zu glauben, dass sie einen Schritt zur Überprüfung durch einen Menschen ausführen, ein Gerät registrieren oder ein nicht vorhandenes Problem wie einen Fehler bei der Anzeige einer Webseite beheben. Infolgedessen werden sie durch einen dreistufigen Prozess geführt, der letztendlich die Ausführung bösartiger PowerShell-Befehle ermöglicht:

1. Öffnen Sie das Windows-Ausführungsfeld [drücken Sie die Windows-Taste + R].
2. Kopieren Sie einen bösartigen PowerShell-Befehl automatisch oder manuell und fügen Sie ihn in das Terminal ein [drücken Sie STRG+V].
3. Und führen Sie die Eingabeaufforderung aus [drücken Sie die Eingabetaste]

Sobald der bösartige PowerShell-Befehl ausgeführt wurde, bauen die Angreifer eine Command-and-Control-Kommunikation (C2) innerhalb der Zielumgebung auf, bevor sie sich lateral durch das Netzwerk bewegen, um sensible Daten zu erlangen und zu stehlen. Oft werden bösartige Payloads eingesetzt, die mit verschiedenen Malware-Familien wie XWorm, Lumma und AsyncRAT in Verbindung stehen].

Basierend auf Untersuchungen des Threat Research Teams von Darktrace Anfang 2025 zeigt dieser Blogbeitrag, wie Darktrace ClickFix-Baiting-Aktivitäten nach dem ersten Zugriff erkennen kann.

Quelle: Darktrace 

---

Bild/Quelle: https://depositphotos.com/de/home.html

---