ClickFix-Malware nutzt jetzt Windows Terminal für Angriffe

Cyberkriminelle haben ihre ClickFix-Methode gefährlich weiterentwickelt. Statt wie bisher den Windows-Ausführen-Dialog zu missbrauchen, zielen sie jetzt direkt auf das Windows Terminal ab. Diese scheinbar kleine Änderung umgeht aktuelle Sicherheitssysteme und Mitarbeiterschulungen.

Microsoft warnte kürzlich vor der neuen Social-Engineering-Taktik. Nutzer werden auf kompromittierten Webseiten durch gefälschte Fehlermeldungen manipuliert, bösartige Befehle selbst auszuführen. Die Angriffe führen zur Installation gefährlicher Schadsoftware wie dem Lumma Stealer.

Da Cyberkriminelle zunehmend auf die Manipulation von Nutzern setzen, wird der proaktive Schutz des eigenen Unternehmens immer wichtiger. Dieser kostenlose Experten-Report enthüllt effektive Strategien gegen aktuelle Bedrohungen, ohne dass Ihr Budget explodieren muss. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

So funktioniert die neue Infektionsmethode

Bisher lockten die Angreifer ihre Opfer in die "Windows+R"-Falle. Jetzt fordern sie die Tastenkombination "Windows+X" gefolgt von "I" oder "A" – das öffnet das Windows Terminal. Die gefälschten Seiten kopieren dabei täuschend echt das Design bekannter Sicherheitsdienstleister wie Cloudflare.

Im Hintergrund lädt eine Pastejacking-Methode unbemerkt ein bösartiges Skript in die Zwischenablage. Die Nutzer werden dann aufgefordert, den verschlüsselten PowerShell-Befehl im Terminal einzufügen und auszuführen. Da der Nutzer den Befehl manuell startet, stufen viele Antivirenprogramme den Vorgang zunächst als legitim ein.

Der eingefügte Code ist oft im Hexadezimalformat verschlüsselt. Das erschwert die sofortige Analyse durch Sicherheitsscanner zusätzlich.

Warum diese Taktik so gefährlich ist

Der Wechsel zum Terminal ist ein strategischer Schachzug. In den letzten Monaten hatten viele IT-Abteilungen ihre Überwachung speziell auf den Ausführen-Dialog kalibriert. Auch Schulungen warnten explizit vor "Windows+R".

Das Windows Terminal ist dagegen ein täglich genutztes Standardwerkzeug. Schadcode, der darüber läuft, fällt weniger auf. Die Angreifer nutzen das Prinzip "Living off the Land" – sie missbrauchen legitime Systemwerkzeuge für ihre Zwecke.

Nach der ersten Kompromittierung zeigen die Angreifer besondere Raffinesse. Der PowerShell-Befehl öffnet oft weitere Terminal-Instanzen, um eingebettete Befehle zu entschlüsseln. In dokumentierten Fällen wurde sogar eine legitime Version von 7-Zip heruntergeladen, um die eigentliche Schadsoftware im Hintergrund zu entpacken.

DNS-Missbrauch und neue Fernzugriffstrojaner

Die veränderte Tastenkombination ist nicht die einzige Neuerung. Aktuelle Berichte zeigen, dass die Angreifer ihre Techniken breit diversifizieren.

Eine Variante missbraucht benutzerdefinierte DNS-Abfragen. Der Schadcode wird in den Antworten eines kontrollierten DNS-Servers versteckt. Diese Methode tarnt bösartigen Datenverkehr als normale Netzwerkabfragen – Firewalls haben kaum eine Chance. Am Ende dieser Infektionskette steht oft der ModeloRAT, ein ferngesteuerter Trojaner.

Eine weitere Kampagne nutzt kompromittierte Webseiten zur Verbreitung des bisher undokumentierten MIMICRAT. Diese Angriffe deaktivieren gezielt Windows-Ereignisprotokolle, bevor die Schadsoftware geladen wird. Die Kommunikation sieht aus wie normaler Web-Analytics-Traffic.

Besonders tückisch: Die MIMICRAT-Kampagne passt ihre Köder dynamisch an die Spracheinstellungen des Opfer-Browsers an.

Mensch statt Software: Der neue Fokus der Angreifer

Die rasante Evolution der ClickFix-Taktiken zeigt einen grundlegenden Wandel. Angreifer suchen kaum noch komplexe Software-Schwachstellen. Stattdessen konzentrieren sie sich auf den Faktor Mensch.

Die Manipulation von Nutzern zur Selbstinfektion erweist sich als äußerst effektiv. Sobald Sicherheitsanbieter eine bestimmte Verhaltensweise blockieren, passen die Kriminellen ihre Methoden an.

Auch wenn Angriffe oft am Desktop starten, nutzen Kriminelle die psychologischen Tricks zunehmend auch für mobile Endgeräte. Erfahren Sie in diesem kostenlosen Ratgeber, mit welchen 5 einfachen Maßnahmen Sie Ihr Android-Smartphone vor Datendieben und Schadsoftware schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Obwohl sich die Angriffe primär gegen Desktop-Systeme richten, betrifft die Bedrohung auch Smartphones. Nutzer öffnen Links aus Phishing-Nachrichten oft zunächst mobil. Wenn sie die präparierten Seiten später am Computer öffnen, schnappt die Falle zu.

Analysten beobachten bereits, dass die psychologischen Tricks zunehmend auf mobile Ökosysteme übertragen werden.

Wie sich Nutzer schützen können

Sicherheitsexperten erwarten, dass ClickFix-Kampagnen noch zielgerichteter werden. Die Grenzen zwischen legitimen Systemmeldungen und bösartigen Aufforderungen verschwimmen weiter.

Für Administratoren ist die Aktivierung umfassenden Skript-Loggings eine zentrale Maßnahme. So lassen sich auch verschleierte Befehle im Nachhinein analysieren.

Für alle Nutzer gilt: Legitime Dienste verlangen niemals die manuelle Eingabe von unverständlichem Code in Systemkonsolen. Diese grundlegende Skepsis ist der beste Schutz gegen die neuen ClickFix-Taktiken.