ClickFix-Malware nutzt Windows Terminal für Angriffe

Microsoft warnt vor einer gefährlichen neuen Angriffsmethode, die selbst erfahrene Nutzer täuscht. Cyberkriminelle leiten ihre Opfer gezielt in ein legitimes Administrations-Tool, um Schadsoftware zu installieren.

Die Bedrohung durch die berüchtigte ClickFix-Kampagne hat eine neue, tückischere Stufe erreicht. Wie Microsoft Threat Intelligence am 6. März 2026 bekannt gab, umgehen Angreifer nun klassische Sicherheitsvorkehrungen, indem sie ihre Opfer in das Windows Terminal locken – statt in den bekannten Ausführen-Dialog. Diese seit Februar beobachtete Taktik stellt eine erhebliche Eskalation dar und nutzt menschliches Verhalten geschickt aus, um Diebstahl-Software wie Lumma Stealer einzuschleusen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe wie ClickFix nicht vorbereitet sind, zeigt die Brisanz aktueller Bedrohungslagen. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie Sie Ihre IT-Sicherheit ohne Budget-Explosion nachhaltig stärken. Cyber Security Trends kostenlos herunterladen

Indem die Täter einen legitimen Admin-Shortcut missbrauchen, tarnt sich die Schadaktivität als normale Systemoperation. Viele bestehende Sicherheitsprotokolle werden so wirkungslos. Experten fordern eine sofortige Überarbeitung der Security-Schulungen in Unternehmen, die bisher andere Angriffsvektoren im Fokus hatten. Die Kampagne zeigt ein hohes Maß an operativer Raffinesse und nutzt kompromittierte Websites quer durch alle Branchen als Verteilerinfrastruktur.

Vom Run-Dialog zum Terminal: Die Taktik-Änderung

Seit ihrem ersten Auftreten setzten ClickFix-Angriffe stark auf eine Technik namens Pastejacking. Dabei lockten gefälschte CAPTCHA-Seiten, Fehlerbehebungs-Dialoge oder Browser-Update-Warnungen Nutzer in die Falle. Die Opfer wurden angewiesen, einen bereitgestellten Befehl zu kopieren und in den Windows-Ausführen-Dialog (Windows-Taste + R) einzufügen.

Die Ausführung startete die Infektionskette. Doch Sicherheitstools und firmeninterne Schulungen wurden immer besser darin, verdächtige Aktivitäten aus dem Run-Dialog zu erkennen und zu blockieren. Die Erfolgsquote der Angriffe sank. „Bedrohungsakteure sind hochgradig anpassungsfähig“, so Sicherheitsforscher. Der jüngste Methodenwechsel ist eine direkte Antwort auf die verbesserten Abwehrmaßnahmen. Betroffen sind weiterhin Organisationen aus Finanzwesen, Gesundheitssektor und Behörden – ein Beleg dafür, dass Social Engineering für Cyberkriminelle äußerst lukrativ bleibt.

Der Trick mit dem Admin-Shortcut

Die neueste ClickFix-Variante umgeht den Run-Dialog komplett. Stattdessen weisen die schadhaften Landingpages die Opfer an, die Tastenkombination Windows-Taste + X, gefolgt von I zu drücken. Diese Sequenz startet direkt das Windows Terminal – ein legittimes, mächtiges Admin-Tool, das Entwickler und IT-Profis häufig nutzen.

Dieser Schritt in eine privilegierte Kommandozeilen-Umgebung verschafft den Angreifern einen entscheidenden Vorteil. Das Windows Terminal ist ein Standard-Bestandteil moderner Windows-Systeme und sein Start wird von Sicherheitssoftware selten als inhärent verdächtig eingestuft. Die Täter spekulieren darauf, dass die Terminal-Umgebung für den Durchschnittsnutzer technisch und vertrauenswürdig wirkt – besonders wenn sie als nötiger Schritt zur Fehlerbehebung oder Sicherheitsüberprüfung dargestellt wird.

„Diese Methode umgeht gezielt Erkennungsmechanismen, die den Missbrauch des Run-Dialogs überwachen“, erklären Experten. Die ersten Angriffsphasen bleiben so von automatischen Sicherheits-Systemen unbemerkt. Das seriöse Erscheinungsbild des Terminal-Fensters suggeriert dem Opfer, eine routinemäßige Admin-Aufgabe auszuführen.

Komplexe Infektionskette mit Lumma Stealer

Die technische Ausführung der neuen ClickFix-Variante ist hochkomplex und mehrstufig. Wenn das Opfer den bereitgestellten Befehl in das Windows Terminal einfügt, führt es tatsächlich ein stark verschleiertes, hex-kodiertes und XOR-komprimiertes PowerShell-Skript aus. Dieses startet mehrere weitere Terminal- und PowerShell-Instanzen, die zusammen die bösartigen Anweisungen decodieren.

Hacker nutzen psychologische Schwächen wie Vertrauen in System-Tools gnadenlos aus, um Schadprogramme wie den Lumma Stealer zu platzieren. Schützen Sie Ihr Unternehmen mit dieser 4-Schritte-Anleitung effektiv vor Phishing-Angriffen und modernen Betrugsmaschen. Kostenloses Anti-Phishing-Paket anfordern

Anschließend kontaktiert das Skript externe Server, um eine legitim umbenannte Version des 7-Zip-Archiv-Tools zusammen mit einer komprimierten Schadlast herunterzuladen. Das umbenannte Tool wird mit einem zufälligen Dateinamen gespeichert und extrahiert die Malware-Komponenten. Die Infektion richtet Persistenz über geplante Tasks ein und modifiziert aktiv Microsoft Defender-Ausschlüsse, um eine spätere Erkennung zu verhindern.

Im Finale wird häufig Lumma Stealer eingesetzt, ein prominenter Information-Stealer. Dieser nutzt eine fortgeschrittene Technik namens QueueUserAPC, um sich direkt in aktive Browser-Prozesse wie Google Chrome und Microsoft Edge zu injizieren. So kann die Malware unbemerkt gespeicherte Login-Daten, Krypto-Wallet-Informationen und andere sensible Browser-Artefakte abgreifen. Microsoft beobachtete in dieser Kampagne auch alternative Angriffspfade, etwa das Herunterladen von Batch-Skripten, die Visual Basic-Skripte in temporäre Ordner schreiben und legitime Systemtools wie MSBuild für die weitere Ausführung missbrauchen.

Die Herausforderung: Angriffe mit Bordmitteln

Die Cybersicherheits-Community warnt angesichts dieser Entwicklung vor der wachsenden Gefahr durch Living-Off-The-Land-Techniken. Diese Angriffe nutzen native, legitime Tools des Betriebssystems, was es Sicherheitsprodukten außerordentlich schwer macht, zwischen normalen Admin-Aufgaben und bösartiger Ausnutzung zu unterscheiden. Da der Nutzer die Terminal-Sitzung manuell startet und den Befehl einfügt, stammt die Aktivität aus einem vertrauenswürdigem Nutzerkontext – was die automatische Erkennung weiter verkompliziert.

Die Integration dieser Taktik in die weitverbreitete ClickFix-Infrastruktur zeigt: Cyberkriminelle setzen zunehmend auf einfache, skalierbare Methoden statt auf hochkomplexe, maßgeschneiderte Malware-Dropper. „Dieser Ansatz maximiert die Rendite der Angreifer, indem er die ultimative Schwachstelle in jedem Netzwerk ausnutzt: den menschlichen Endnutzer“, so Branchenanalysten. Die Fähigkeit der Kampagnen, Köder-Inhalte dynamisch basierend auf der Browser-Sprache des Opfers zu lokalisieren, unterstreicht die operative Raffinesse und breite Zielauswahl moderner Cyberkriminal-Syndikate. Die gestohlenen Zugangsdaten werden häufig an Initial-Access-Broker im Darknet verkauft – oft der Auftakt für verheerendere Folgenangriffe wie Ransomware.

Schutzmaßnahmen: Schulungen und Technik

Da Bedrohungsakteure ihre Social-Engineering-Techniken stetig verfeinern, müssen Organisationen ihre Verteidigung anpassen. Sicherheitsexperten empfehlen IT-Abteilungen dringend, ihre Security-Awareness-Schulungen sofort zu aktualisieren. Mitarbeiter müssen explizit auf die Gefahren des Windows-Terminal-Shortcuts und des Einfügens von Befehlen in jegliche Kommandozeilen-Schnittstelle hingewiesen werden. Die zentrale Botschaft: Legitime Webdienste verlangen niemals die manuelle Ausführung von Systembefehlen zur Identitätsverifikation oder lokalen Fehlerbehebung.

Aus technischer Sicht rät Microsoft Netzwerk-Verteidigern, eine umfassende PowerShell-Skriptblock-Protokollierung zu aktivieren. Diese Maßnahme bietet wichtige Einblicke in die Ausführung verschleierter oder kodierter Befehle und ermöglicht Security-Teams die Analyse bösartiger Skripte, die ansonsten traditionelle Protokollierungsmechanismen umgehen könnten. Zudem sollten Organisationen strikte Richtlinien für die Nutzung von Admin-Tools erwägen und den Zugang zum Windows Terminal möglicherweise auf jene Nutzer beschränken, die es für ihre täglichen Aufgaben nicht benötigen. In einer sich ständig wandelnden Bedrohungslandschaft bleiben die kontinuierliche Überwachung des Endpunkt-Verhaltens und die schnelle Anpassung von Sicherheitsprotokollen essenziell, um die Auswirkungen von Kampagnen wie ClickFix einzudämmen.