Microsoft warnt vor neuer Welle von ClickFix-Angriffen

Cyberkriminelle nutzen Windows Terminal, um Sicherheitsvorkehrungen zu umgehen und den Lumma Stealer zu verbreiten. Die Angriffe zielen auf Unternehmen und Privatnutzer.

Microsofts Sicherheitsforscher haben eine hochgefährliche Weiterentwicklung der weit verbreiteten ClickFix-Kampagne aufgedeckt. Die Angreifer haben ihre Taktik grundlegend geändert: Statt klassischer Methoden nutzen sie nun die legitime Windows Terminal-Anwendung, um die Passwort-stehlende Schadsoftware Lumma Stealer einzuschleusen. Sie bringen ahnungslose Nutzer dazu, in dieser privilegierten Umgebung bösartige Befehle auszuführen – und umgehen so konventionelle Sicherheitssysteme. Diese Entwicklung unterstreicht einen besorgniserregenden Trend: Die Kombination aus Social Engineering und missbrauchten Systemwerkzeugen überholt zunehmend rein technische Abwehrmaßnahmen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und wie neue Gesetze die Haftung verschärfen, erklärt dieser aktuelle Experten-Report. Erfahren Sie, wie Sie Ihre IT-Sicherheit mit einfachen, proaktiven Maßnahmen ohne hohe Investitionen stärken. Cyber Security Awareness Trends kostenlos herunterladen

Vom Ausführen-Dialog zum Terminal: Ein taktischer Wechsel

Bisher folgten ClickFix-Angriffe einem vorhersehbaren Muster. Opfer sahen gefälschte CAPTCHA-Abfragen, simulierte Browserfehler oder betrügerische Anleitungen, die sie zur Windows-Taste + R drängen. Dies öffnete den "Ausführen"-Dialog, in den Nutzer einen schädlichen Befehl einfügten. Da Endpoint-Detection-Systeme solche Aktivitäten jedoch zuverlässig erkennen, suchten die Angreifer nach einer unauffälligeren Methode.

Die neue Kampagne, die Microsoft am 6. März detailliert beschrieb, zeigt einen kalkulierten Schwenk. Die schädlichen Webseiten instruieren ihre Ziele nun zu einer anderen Tastenkombination: Windows-Taste + X, gefolgt von I. Diese Sequenz startet direkt das Windows Terminal (wt.exe). Da es sich um ein legitimes Administrations- und Entwicklungswerkzeug handelt, fallen darin ausgeführte Befehle kaum im normalen Systembetrieb auf. Die Angreifer tarnen sich so in einer vertrauenswürdigen Anwendung – für Nutzer und Sicherheitssoftware gleichermaßen.

Eine mehrstufige, dateiarme Infektionskette

Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen, indem sie gezielt menschliche Schwachstellen ausnutzen. Ein kostenloser Guide zeigt Ihnen in 4 Schritten, wie Sie Ihre Organisation wirksam vor Phishing und Schadprogrammen schützen. Anti-Phishing-Paket zur Hacker-Abwehr sichern

Hat ein Opfer das Terminal geöffnet, eskaliert die Attacke rasch. Der Nutzer wird aufgefordert, einen von der betrügerischen Seite kopierten Befehl einzufügen. Dieser Befehl ist stark verschleiert, nutzt Hexadezimal-Codierung und XOR-Kompression, um statische Scans zu umgehen.

Bei Ausführung startet der Initialbefehl mehrere weitere Terminal- und PowerShell-Instanzen. Diese decodieren ein verstecktes Skript, das von einem Server der Angreifer ein ZIP-Archiv und eine umbenannte, legitime Version des 7-Zip-Tools herunterlädt. Das Entpackungswerkzeug extrahiert das Archiv und startet eine operation, die den Rechner systematisch kompromittiert.

Die Malware holt weitere Schadpayloads, richtet über geplante Aufgaben dauerhaften Zugriff ein und konfiguriert gezielt Ausschlussregeln in Microsoft Defender, um die eingebaute Antiviren-Funktion zu umgehen. Final wird Lumma Stealer installiert. Dieser nutzt eine fortgeschrittene Injektionstechnik, um sich direkt in laufende Browserprozesse wie Google Chrome oder Microsoft Edge einzuschleusen. Von dort erntet er hochwertige Daten: Gespeicherte Login-Daten, Session-Cookies und mehr, die an entfernte Server übertragen werden.

Teilweise nutzt die Kampagne einen alternativen Pfad: Ein Batch-Skript legt ein Visual Basic Script ab, das Windows-Bordmittel wie MSBuild für die Payload-Ausführung missbraucht. Einige Skripte kommunizieren sogar über Kryptowährungs-Blockchains mit den Angreifern – eine Tarnmethode, die Experten als EtherHiding bezeichnen.

Teil eines größeren Trends: Missbrauch legitimer Tools

Die Umstellung auf Windows Terminal ist kein Einzelfall, sondern Teil einer kontinuierlichen Evolution der ClickFix-Methodik. Bereits im Februar dokumentierten Forscher von Malwarebytes eine Variante, die das Netzwerkverwaltungstool nslookup für bösartige DNS-Abfragen missbrauchte. Im Januar identifizierte Microsoft Defender Experts die CrashFix-Variante: Sie stürzt den Browser des Opfers gezielt ab und präsentiert dann einen gefälschten Wiederherstellungsdialog, der zur Ausführung eines Python-basierten Schadprogramms verleitet.

Diese schnellen Iterationen zeigen eine klare Strategie: Cyberkriminelle reduzieren ihre Abhängigkeit von Software-Schwachstellen. Stattdessen setzen sie auf die Manipulation des Nutzerverhaltens und den Missbrauch von bereits im System vorhandenen, vertrauenswürdigen Programmen – eine Taktik, die als "Living-off-the-Land" bekannt ist.

Verheerende Effektivität und kurze Reaktionszeiten

Der ReliaQuest Cyber-Threat Report 2026 unterstreicht die verheerende Wirksamkeit dieser Methoden. Demnach waren ClickFix-Kampagnen im vergangenen Jahr für die Verbreitung von 59 Prozent der wichtigsten Malware-Varianten verantwortlich. Da Nutzer die Befehle mit ihren eigenen Systemrechten ausführen, beschleunigen die Angreifer ihre Operationszeiten massiv. Die schnellsten gemessenen Intrusion Breakout Times – die Zeitspanne vom ersten Zugriff bis zur Bewegung im Netzwerk – liegen bei nur noch vier Minuten.

Die Angriffe sind erfolgreich, weil sie menschliches Vertrauen und nicht technische Schwachstellen ausnutzen. Selbst Unternehmen mit mehrschichtigen Sicherheitsarchitekturen sind verwundbar, wenn ein Mitarbeiter Kontrollen umgeht, um einen vorgetäuschten Systemfehler zu beheben. Die täuschend echten Köder, kombiniert mit legitimen Tools, machen es Endnutzern extrem schwer, echte von bösartigen Aufforderungen zu unterscheiden.

Abwehr erfordert neue Strategien

Experten erwarten, dass Angreifer weiterhin obskurere Windows-Bordmittel für ihre Zwecke missbrauchen werden. Signaturbasierte Erkennungsmethoden werden gegen diese dateiarmen, nutzerinitiierten Angriffsketten zunehmend wirkungslos.

Organisationen müssen ihre Abwehrstrategien anpassen. Sicherheitsanalysten empfehlen eine strikte Konfigurationshärtung: Der Zugriff auf Administrationswerkzeuge wie Windows Terminal, PowerShell und den Ausführen-Dialog sollte für Standardnutzer ohne täglichen Bedarf deaktiviert werden. Umfassendes PowerShell Script Block Logging kann Sicherheitsteams die nötige Transparenz geben, um verschleierte Befehle früh zu erkennen und zu analysieren.

Letztlich erfordert die Risikominderung einen Paradigmenwechsel in der Security-Awareness-Schulung. Mitarbeiter müssen verinnerlichen, dass legitime Software-Updates oder Verifizierungschecks niemals das Öffnen von Administrations-Terminals und die Ausführung unverständlicher Codezeilen erfordern. Angesichts immer raffinierterer Social-Engineering-Strategien bleibt ein skeptischer und informierter Mitarbeiter die wichtigste Verteidigungslinie gegen die nächste Generation von Angriffen.