ClickFix: Wenn Computerbesitzer sich selbst infizieren – Aufstieg und Evolution einer Cyberbedrohung

Autor: DerSchneider

Einleitung – Im digitalen Wettrüsten zwischen Angreifern und Verteidigern sind die raffinierertesten Waffen längst nicht immer technologischer Natur. Ein eindrucksvolles Exempel dieser Erkenntnis ist die seit 2024 rasch um sich greifende Angriffsmethode ClickFix. Bei diesem modernen Social-Engineering-Ansatz infizieren Opfer ihren eigenen Rechner, weil sie durch manipulierte Sicherheitsabfragen dazu gebracht werden, einen Schadcode manuell auszuführen. Was wie eine absurde Selbsttäuschung klingt, entpuppt sich bei näherem Hinsehen als eine der genialsten und gefährlichsten Cyberbedrohungen der letzten Jahre. Der folgende Artikel widmet sich dieser Methode eingehend: von ihren Ursprüngen über die beteiligten Akteure bis hin zu ihrer unaufhaltsamen technischen Evolution – um am Ende einen differenzierten Ausblick auf die kommenden Herausforderungen zu wagen.

1. Ursprünge und Vorläufer: Von ClearFake zu ClickFix

Die Geschichte von ClickFix beginnt nicht im luftleeren Raum, sondern ist die konsequente Weiterentwicklung einer älteren Betrugsmasche. Ihr direkter Vorläufer ist eine Malware-Kampagne namens ClearFake, die erstmals im Juli 2023 von Sicherheitsforschern dokumentiert wurde. ClearFake nutzte kompromittierte WordPress-Webseiten, um gefälschte Pop-ups für Browser-Updates anzuzeigen. Klickte der ahnungslose Besucher auf den vermeintlichen „Update“-Button, lud er sich unwissentlich eine Schadsoftware auf seine Festplatte herunter.

Bereits im Oktober 2023 integrierten die Betreiber von ClearFake eine besonders raffinierte Tarnung: die sogenannte EtherHiding-Technik. Dabei nutzen sie die Blockchain des Binance Smart Chain (BSC), um ihre bösartigen JavaScript-Codes in Smart Contracts zu verstecken. Diese blockchainbasierte Methode erschwerte es Sicherheitsforschern erheblich, die schädlichen Skripte aufzuspüren und zu analysieren.

Der eigentliche Durchbruch und die Geburtsstunde von ClickFix, wie wir es heute kennen, erfolgte jedoch im Frühjahr 2024. Berichten zufolge wurde die Technik erstmals Anfang März 2024 von dem als TA571 bekannten Initial-Access-Broker (also einem Dienstleister, der kriminellen Gruppen ersten Zugang zu Netzwerken verschafft) eingesetzt, gefolgt von der ClearFake-Gruppe selbst. Zeitgleich, im April 2024, bestätigten auch Forscher von Proofpoint die ersten Kampagnen dieser neuen Methode.

Der Clou von ClickFix gegenüber ClearFake war ein psychologischer Quantensprung: Statt eines Downloads überzeugte die Masche das Opfer nun, einen bereits in die Zwischenablage kopierten PowerShell-Befehl selbst auszuführen. Dieser Wechsel vom passiven Öffnen einer Datei hin zur aktiven Anweisung an das Betriebssystem war die eigentliche Innovation. Die Bezeichnung „ClickFix“ leitet sich dabei von der Anweisung ab, ein (nicht vorhandenes) Problem zu „fi x en“ (engl. to fix).

2. Verdächtige und Täter: Vom Cyberkriminellen zum Staatstrojaner

Die Anziehungskraft von ClickFix ist bemerkenswert, da sie verschiedene Tätergruppen auf unterschiedlichsten Ebenen des Cybercrime-Ökosystems vereint.

• Kriminelle Brokernetzwerke (Cybercrime) – An vorderster Front agieren Initial-Access-Broker wie TA571 und TA584. Sie nutzen ClickFix, um in Unternehmensnetzwerke einzudringen und diese Zugänge dann an andere Kriminelle, etwa Ransomware-Banden, weiterzuverkaufen. Ihre Methodik ist geprägt von einer enormen Dynamik und Flexibilität bei der Wahl der End-Software.
• Staatlich gestützte Akteure (APT-Gruppen) – Wie das Sicherheitsunternehmen Proofpoint im April 2025 berichtete, haben inzwischen auch mehrere staatliche Akteure die Methode für ihre Spionagekampagnen adaptiert:
  • Nordkorea: Die berüchtigte Lazarus-Gruppe und ihre Subgruppe BlueNoroff nutzen ClickFix in Verbindung mit gefälschten Zoom-Einladungen, um gezielt Kryptowährungsfirmen anzugreifen. Allein im März 2025 gelang es ihnen auf diese Weise, 1,5 Milliarden US-Dollar von der Plattform Bybit zu stehlen.
  • Iran: Eine als MuddyWater bekannte Gruppe verwendet ClickFix für Spionageoperationen im Nahen Osten.
  • Russland: Die Hackergruppen APT28 (auch als Fancy Bear bekannt) und Turla setzen die Methode in ihren komplexen, langlebigen Angriffen ein.
• Emergente und spezialisierte Akteure – Das Spektrum wird durch weitere, teils neu entdeckte Gruppen ergänzt. So nutzt der seit Anfang 2025 beobachtete Akteur KongTuke eine besonders perfide Variante namens CrashFix, bei der eine bösartige Browsererweiterung gezielt den Browser zum Absturz bringt, um das Opfer dann zur „Reparatur“ aufzufordern. Die Gruppe EVALUSION wiederum kombiniert ClickFix mit dem PureCrypter-Verschleierer und dem NetSupport-RAT.

Diese breite Akzeptanz von ClickFix durch unterschiedlichste Akteure zeigt, dass es sich um eine äußerst effektive Methode handelt, die von klassischen Kriminellen bis hin zu staatlichen Hackern einen hohen Nutzen stiftet.

3. Tiefenanalyse: Wie ClickFix funktioniert – Die technischen TTPs

Der Kern von ClickFix ist eine elegante Umgehung klassischer Sicherheitsmechanismen. Anstatt eine Schwachstelle im System auszunutzen, zielt es auf den Benutzer selbst ab, der die schädlichen Befehle autorisiert. Der gesamte Prozess lässt sich in mehrere Phasen unterteilen, deren Taktiken, Techniken und Prozeduren (TTPs) wir hier im Detail betrachten.

3.1 Die Initiale Infektion (User-Access)

Der Angriff beginnt, wenn ein potenzielles Opfer auf einen der folgenden Wege zu einer manipulierten Webseite gelangt:

• Phishing-E-Mails: Versand von Links zu gefälschten Supportseiten
• Malvertising: Bösartige Werbeanzeigen auf bekannten Plattformen
• SEO-Poisoning: Manipulation von Suchergebnissen, um schädliche Seiten prominent zu platzieren
• Kompromittierte Webseiten: Aufsetzen von ClickFix-Code auf seriösen, aber gehackten WordPress-Seiten (allein die ClearFake-Kampagne infizierte über 9.300 Webseiten)

Besonders perfide ist die Nutzung sogenannter Traffic Distribution Systems (TDS), die Besucher basierend auf ihrem Standort, ihrem Betriebssystem oder anderen Faktoren dynamisch auf unterschiedliche Schadserver umleiten.

3.2 Die Köder: Erstellung eines täuschend echten CAPTCHA

Auf der präparierten Seite wird dem Opfer ein äußerst realistisch gestaltetes Dialogfeld präsentiert, das bekannten Sicherheitsdiensten wie Google reCAPTCHA oder Cloudflare Turnstile nachempfunden ist. Dieses Fenster behauptet, eine Überprüfung des Benutzers sei aufgrund von angeblichen „DNS-Fehlern“, „Browser-Kompatibilitätsproblemen“ oder „Netzwerk-Problemen“ notwendig.

3.3 Das Clipboard-Hijacking (Ausführung)

Sobald das Opfer auf den „Überprüfen“-Button klickt, führt ein JavaScript-Befehl auf der Webseite zwei entscheidende Aktionen durch:

1. Kopieren des Schadcodes: Ein vorbereiteter, komplexer PowerShell-Befehl wird heimlich in die Zwischenablage des Benutzers kopiert.
2. Einblenden der Anweisung: Dem Nutzer wird eine Schritt-für-Schritt-„Lösung“ angezeigt. Diese behauptet, dass er das Problem manuell beheben müsse. Die Anweisungen sind simpel:
   • Drücke Windows + R (um das Ausführen-Fenster zu öffnen)
   • Drücke Strg + V (um den Inhalt der Zwischenablage einzufügen)
   • Bestätige mit Enter

Da der Benutzer die Befehle selbst eingibt, umgeht er damit viele Sicherheitsschranken, die Downloads blockieren oder verdächtige Skripte stoppen würden.

3.4 Payload-Lieferung: Von schlichten Downloadern zu serverseitiger Polymorphie

Hier liegt das eigentliche Herzstück der technischen Evolution von ClickFix. Die auszuführenden Befehle haben sich massiv weiterentwickelt.

Frühe Variante: Anfangs handelte es sich um einfache Klartext-Befehle, die eine ausführbare Datei von einem Server herunterluden. Dieser Ansatz hinterließ jedoch deutliche Spuren auf der Festplatte und war für moderne Antivirenprogramme relativ leicht zu erkennen.

Moderne Variante: Die heutigen ClickFix-Befehle sind hochgradig obfuskiert und führen die Schadsoftware komplett im Arbeitsspeicher aus, ohne eine Datei auf der Festplatte zu hinterlassen. Dies geschieht durch Techniken wie XOR-Verschlüsselung oder Base64 + Deflate-Kompression.

Die gefährlichste Neuerung ist die Nutzung der serverseitigen Polymorphie: Der Schadcode wird für jedes einzelne Opfer dynamisch einzigartig generiert. Dadurch ist eine Erkennung über klassische Signaturdatenbanken praktisch unmöglich, da der Code nie zweimal identisch ist. Die Bedrohungsakteure können innerhalb derselben Kampagne auf demselben Server je nach Anfrage mal einen xor-verschlüsselten, mal einen base64-komprimierten Befehl ausliefern.

4. Genutzte Schadsoftware: Eine Übersicht

ClickFix dient als universeller „Loader“ für eine Vielzahl von Schadprogrammen. Die folgende Tabelle fasst die am häufigsten beobachteten Payloads zusammen, die anschließend auf den kompromittierten Systemen ausgeführt werden:

Bemerkenswert ist die Flexibilität: Je nach Ziel der Angreifer kann ClickFix nahezu jede Form von Schadsoftware nachladen.

5. Evolution der Technik: Die Varianten im Überblick

ClickFix ist kein monolithisches Konstrukt, sondern ein sich ständig weiterentwickelnder Baukasten. Diese Tabelle veranschaulicht die wichtigsten Varianten der Methode im Überblick:

6. Kontroversen und aktuelle Entwicklungen

Die rasche Verbreitung von ClickFix hat eine hitzige Debatte in der Cybersicherheitsbranche ausgelöst. Ein Kernpunkt ist die schwierige Abgrenzung zwischen „User Error“ und „Malware“. Wenn der Benutzer den Befehl selbst ausführt, fällt dies in vielen Unternehmen nicht unter die klassischen Warnkriterien für Malware.

Ein weiterer Streitpunkt ist die Zuschreibung von Angriffen. Während die technischen Spuren von ClickFix klar nachvollziehbar sind, ist die Frage, ob ein Angriff von TA571, Lazarus oder einem Nachahmer stammt, oft schwer zu beantworten. Die niedrige Einstiegshürde (Malware-as-a-Service) führt zu einer enormen Fragmentierung der Urheberschaft.

Eine besonders beunruhigende Entwicklung ist die Nutzung von AI-generierten Inhalten durch Gruppen wie BlueNoroff, um überzeugende gefälschte Meeting-Einladungen zu erstellen. Auch das Phänomen „CrackFix“, bei dem die Popularität von KI-Tools wie DeepSeek für ClickFix-Kampagnen missbraucht wird, zeigt die Anpassungsfähigkeit der Angreifer.

7. Prävention und Gegenmaßnahmen (Roadmap)

Die Bekämpfung von ClickFix erfordert einen mehrschichtigen Ansatz, der sowohl die Nutzer als auch die technische Infrastruktur in den Fokus nimmt.

• Benutzerschulung – Dies ist die mit Abstand wichtigste Verteidigungslinie. Kein legitimes System wird einen Benutzer jemals auffordern, einen Befehl in das Ausführen-Fenster oder das Terminal einzufügen. Diese grundlegende Regel muss jedem IT-Anwender vermittelt werden.
• Einschränkung von PowerShell – Organisationen sollten die Ausführung von PowerShell-Skripten restriktiv konfigurieren, z. B. durch das Zulassen nur signierter Skripte (Constrained Language Mode).
• Application Control – Der Einsatz von Whitelisting-Lösungen (wie Windows Defender Application Control) kann die Ausführung von unerlaubten Binärdateien aus Nutzerverzeichnissen unterbinden.
• Endpoint Detection & Response (EDR) – Moderne EDR-Lösungen, die verdächtiges Verhalten (wie das Ausführen von PowerShell mit Base64-kodierten Befehlen) erkennen, sind essenziell.
• Web-Filterung – Das Blockieren von JavaScript auf nicht vertrauenswürdigen Seiten und das Filtern von Webverkehr können verhindern, dass Nutzer überhaupt auf die bösartigen ClickFix-Seiten gelangen.

8. Fazit und Ausblick

ClickFix ist zweifellos eine der folgenreichsten Innovationen im Bereich Social Engineering der letzten Jahre. Ihre Stärke liegt nicht in komplexen Exploits, sondern in der Ausnutzung des Vertrauens, das Benutzer in ihre gewohnten digitalen Prozesse setzen. Die Entwicklung von einfachen Batch-Skripten hin zu servers eitiger Polymorphie und fileless Malware zeigt, wie dynamisch sich die Bedrohungsakteure an die Abwehrmaßnahmen anpassen.

Die Zukunft wird voraussichtlich eine weitere Professionalisierung der Methode bringen. Wir werden verstärkt hyper-personalisierte ClickFix-Angriffe sehen, bei denen künstliche Intelligenz genutzt wird, um das Verhalten des Opfers zu analysieren und die Anweisungen entsprechend anzupassen. Die Grenze zwischen manuellem Benutzerfehler und automatisierter Kompromittierung wird weiter verschwimmen.

Die einzig wirklich nachhaltige Verteidigung gegen ClickFix bleibt letztlich die fortlaufende Sensibilisierung der Anwender. Wir müssen als Gesellschaft lernen, dass ein kritisches Hinterfragen jeder Aufforderung des Computers – insbesondere jener, die das Ausführen von Code verlangt – keine Paranoia, sondern elementare digitale Hygiene ist. Solange das nicht flächendeckend verstanden wird, wird ClickFix seine Wirkung entfalten.

Quellenverzeichnis:

1. Infosecurity Europe: „What is ClickFix and How to Prevent It“ (2026)
2. Proofpoint: „Around the World in 90 Days: State-Sponsored Actors Try ClickFix“ (2025)
3. Guardio Labs: „CAPTCHageddon: Unmasking the Viral Evolution of the ClickFix Browser-Based Threat“ (via The Hacker News, 2025)
4. HiveForce Labs: „ClearFake: Blockchain-Powered Malware Lures Thousands with Fake Security Prompts“ (2025)
5. Sekoia.io: „ClearFake’s New Widespread Variant: Increased Web3 Exploitation for Malware Delivery“ (2025)
6. Huntress Labs: „Dissecting CrashFix: KongTuke’s New Toy“ (2026)
7. Menlo Security: „The Evolution of ClickFix: From Cleartext to Server Side Polymorphism“ (2026)
8. Bitdefender: „ClickFix: When the victims help the hackers“ (2026)
9. Fordham University IT Security Blog: „ClickFix: How Hackers Use ‘Verification’ to Steal Your Information“ (2025)
10. Arctic Wolf Labs: „BlueNoroff Uses ClickFix, Fileless PowerShell, and AI-Generated Fake Zoom Meetings to Target Web3 Sector“ (2026)