ClickFix-Angriffe, Phishing

ClickFix-Angriffe: Phishing nutzt Windows-Tools, um Malware zu schleusen

06.07.2026 - 01:12:33 | boerse-global.de

Cyberkriminelle setzen auf native Windows-Programme, um Schadsoftware einzuschleusen. Klassische Virenscanner erkennen die Bedrohung oft nicht.

ClickFix-Phishing: Neue Angriffswelle nutzt Windows-Tools für Malware
ClickFix-Angriffe - Abstrakte digitale Illustration mit verbundenen Vorhängeschlössern und schädlichen Code-Schnipseln, die eine Cybersicherheitsbedrohung symbolisiert. 06.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher schlagen Alarm: Eine neue Generation von Phishing-Kampagnen nutzt native Windows-Werkzeuge, um Malware einzuschleusen – und bleibt dabei oft unentdeckt.

Wie die Angreifer vorgehen

Die Taktik ist perfide und setzt auf menschliche Fehler. Cyberkriminelle locken ihre Opfer mit gefälschten CAPTCHA-Abfragen oder fingierten Systemfehlermeldungen. Die Nutzer werden aufgefordert, die Tastenkombination „Windows+R" zu drücken und einen bereits kopierten Befehl in das Ausführen-Fenster einzufügen.

Was dann passiert, ist das eigentliche Problem: Der Befehl verbindet sich mit einem entfernten Server – zuletzt identifiziert unter der IP-Adresse 151.245.195.142 – und lädt eine schadhafte Bibliotheksdatei namens demo.dll herunter. Um die Malware dauerhaft im System zu verankern, legen die Angreifer eine geplante Aufgabe mit dem harmlos klingenden Namen „RunNotepadNow" an. Diese ruft in regelmäßigen Abständen weitere Anweisungen von einer Konfigurationsdatei wie 777.xml ab.

Warum klassische Virenscanner versagen

Das Besondere an dieser Methode: Die Angreifer nutzen sogenannte „Living Off the Land Binaries" (LOLBins) – also native Windows-Werkzeuge wie cmdkey und regsvr32. Da diese Programme von Microsoft selbst stammen, werden sie von den meisten Sicherheitslösungen nicht als verdächtig eingestuft. Herkömmliche Antivirenprogramme können die manuell eingegebenen Befehle schlichtweg nicht abfangen.

Das CyberProof Threat Research Team, das die Kampagne seit April 2026 verfolgt, warnt: Selbst wenn die Kommando-und-Kontroll-Server kurz nach ihrer Entdeckung abgeschaltet werden, bleibt die initiale Infektion durch die Nutzung von Systemtools oft unentdeckt.

Anzeige

ClickFix-Angriffe nutzen native Windows-Tools wie cmdkey und regsvr32 – und bleiben von klassischen Virenscannern unentdeckt. Jede Infektion muss als vollständiger Kompromittierungsvorfall behandelt werden. Der kostenlose Report zeigt, wie Sie Angriffe sofort erkennen und Ihre Systeme absichern. Jetzt kostenlosen Schutz-Report anfordern

Browser-Hersteller schalten sich ein

Opera hat als Reaktion auf die wachsende Bedrohung am 2. Juli 2026 eine neue Sicherheitsfunktion namens „Paste Protect" eingeführt. Sie soll speziell ClickFix-Angriffe erkennen und blockieren, die versuchen, die Systemzwischenablage zu kapern. Die Funktion schließt eine kritische Sicherheitslücke, die herkömmliche Antivirenprogramme offen lassen.

Doch die Angreifer werden kreativer. Branchenbeobachter berichten von neuen Varianten, die auch Microsoft-365-Konten ins Visier nehmen. Diese sogenannten „ConsentFix"- und „ClickFix"-Versionen können Benutzersitzungen innerhalb von Sekunden kapern, indem sie ihre Opfer dazu bringen, bösartige Berechtigungen zu erteilen oder Skripte auszuführen, die sogar Multi-Faktor-Authentifizierungen umgehen.

Auch macOS im Visier

Die Bedrohung beschränkt sich längst nicht mehr auf Windows. Das Jamf Threat Labs-Team hat eine Kampagne identifiziert, die macOS-Nutzer mit einer ClickFix-Variante attackiert. Versteckt in betrügerischen Werbeanzeigen verbreitet sie den „Atomic Stealer" – einen Datendieb, der gezielt Passwörter und Kryptowährungs-Wallets abgreift.

Anzeige

Auch macOS-Nutzer sind betroffen: ClickFix-Varianten verbreiten den Atomic Stealer über betrügerische Werbung. Der Datendieb greift Passwörter und Kryptowährungs-Wallets ab. Erfahren Sie im Report, wie Sie sich gegen plattformübergreifende ClickFix-Angriffe wappnen. Schutz-Report für macOS und Windows sichern

Besonders besorgniserregend: Die Angreifer integrieren ClickFix-Taktiken zunehmend mit ausgefeilten Schadprogrammen. Dazu gehören „PamStealer", ein in Rust geschriebener Infostealer für Apple-Silicon-Macs, und „BusySnake", ein Python-basierter Datendieb für Windows. Letzterer kann Browserdaten, Telegram-Sitzungen und Kryptowährungs-Wallet-Dateien auslesen.

Sicherheitsexperten raten Unternehmen, jede identifizierte ClickFix-Infektion als vollständigen Kompromittierungsvorfall zu behandeln. Die Malware priorisiert nämlich den Diebstahl von Verschlüsselungsschlüsseln und Sitzungstoken – und das unmittelbar nach ihrer Ausführung.

de | wissenschaft | 69700295 |