ClickFix-Attacken bedrohen Unternehmenssicherheit

Weniger bekannt als Phishing ist die Social-Engineering-Methode ClickFix. Ziel solcher Attacken ist es, die Opfer dazu zu bewegen, bösartige Befehle in Tools wie PowerShell oder die Windows-Eingabeaufforderung einzufügen. Die Angriffe beginnen in der Regel, nachdem ein Benutzer eine kompromittierte oder bösartige Website besucht oder einen betrügerischen Anhang oder Link geöffnet hat. Der Angriffsvektor betrifft alle gängigen Betriebssysteme wie Windows, Linux und macOS.

Laut einer Analyse des Sicherheitsanbieters ESET haben ClickFix-Angriffe zwischen Dezember 2024 und Mai 2025 um mehr als 500 Prozent zugenommen. Die Social-Engineering-Taktik war für fast acht Prozent aller von dem Anbieter im ersten Halbjahr 2025 blockierten Angriffe verantwortlich.

„Die Liste der Bedrohungen, zu denen ClickFix-Angriffe führen, wird von Tag zu Tag länger und umfasst Infostealer, Ransomware, Fernzugriffstrojaner, Cryptominer, Post-Exploitation-Tools und sogar maßgeschneiderte Malware von staatlich gelenkten Bedrohungsakteuren“, kommentiert Jiří Kropáč, Director of Threat Prevention Labs bei ESET. ClickFix habe sich schnell zu einem weitverbreitenden Angriffsvektor für Cyberkriminelle entwickelt, da die Methode weniger bekannt sei.

„Was diese neue Social-Engineering-Technik so effektiv macht, ist, dass sie einfach genug ist, damit die Opfer die Anweisungen befolgen können. Zudem ist sie glaubwürdig genug, um wie die Lösung eines erfundenen Problems zu wirken. Darüber hinaus wird ausgenutzt, dass die Opfer nicht genau auf die Befehle achten, die sie auf ihrem Gerät einfügen und ausführen sollen“, erklärt Dušan Lacika, Senior Detection Engineer bei ESET, gegenüber CSO.

Angesichts der wachsenden Beliebtheit der Angriffsmethode spekulieren die Sicherheitsforscher, dass Microsoft und Apple, aber auch die Open-Source-Community, Gegenmaßnahmen ergreifen werden. Vorstellbar sei etwa eine Art Sicherheitswarnung, wie sie bereits für Makros in Word oder Excel oder für aus dem Internet kopierte Dateien verwendet wird, um User darauf hinzuweisen, dass sie dabei sind, ein potenziell gefährliches Skript auszuführen.

Gefährliche Payloads

Laut dem Threat-Intelligence-Unternehmen ReliaQuest begünstigt ClickFix die Verbreitung von Malware wie Lumma und SectopRAT. Die Schadprogramme nutzen vertrauenswürdige Tools wie MSHTA, um Abwehrmaßnahmen zu umgehen und Payloads zu verbreiten.

Der Sicherheitsanbieter SentinelLabs zeigt , wie Bedrohungsakteure mit ClickFix wiederholt Anti-Spam-Verifizierungsprozesse ausnutzen, um ihr Repertoire zu erweitern. 

Da diese Angriffe auch gezielt erfolgen, können sie laut ESET eine ähnliche Bedrohung für Unternehmen darstellen wie Spear Phishing.

Gegenmaßnahmen

ClickFix-Angriffe umgehen häufig viele Sicherheitstools, da sie auf der Interaktion mit dem Benutzer beruhen. Awareness ist daher das wichtigste Gegenmittel. Anwender gilt es darin zu schulen, verdächtige Aufforderungen zu erkennen und keinen Code aus zwielichtigen Quellen auszuführen oder zu kopieren.

Schärfere technische Kontrollen können die Angriffe weiter abschwächen. Dazu zählen etwa Endpunktschutz, Webfilterung und E-Mail-Sicherheitstechnologien, um den Zugriff auf bekannte bösartige Websites und Anhänge zu blockieren. Die PowerShell-Richtlinie im Unternehmen zu verschärfen kann ebenfalls helfen, die Bedrohung einzudämmen. Um dennoch erfolgreiche Angriffe schnell abzuwehren, sollte die Reaktion im Ernstfall gut geplant werden.

Lacika von ESET erklärte gegenüber CSO: „Benutzer sollten auch wachsam bleiben, wenn jemand „One-Klick“- oder „Kopieren-und-Einfügen“-Lösungen für unbekannte Probleme anbietet. In Unternehmensumgebungen können Endpoint Detection and Response (EDR)-Tools anomale PowerShell-Nutzungen melden – insbesondere auf Rechnern, die diese selten benötigen – und so die Transparenz und den Schutz vor solchen Angriffen verbessern.“ (jm)