Laut dem neuesten Digital Defense Report 2025 von Microsoft haben Cyberkriminelle einen neuen Angriffstrick namens ClickFix entdeckt. Es handelt sich um eine Social-Engineering-Taktik, die Benutzer davon überzeugt, sich selbst zu infizieren. Darüber hinaus wurde hervorgehoben, dass diese Taktik zu einer der häufigsten Methoden von Hackern geworden ist, um sich ersten Zugriff zu verschaffen.
ClickFix-Angriffe kommen häufiger vor, als Sie denken
Seit Anfang 2024 meldet Microsoft einen starken Anstieg der Zahl ClickFix-basierter Angriffe. Die Angriffsmethode basiert auf zahlreichen gefälschten Popups, Supportmeldungen oder Systemwarnungen, die Benutzer dazu auffordern, ein Problem zu „beheben“, indem sie Code kopieren und in die Windows-Ausführungsbox oder das Windows-Terminal einfügen. Sobald die Eingabeaufforderung oder der Code ausgeführt wird, lädt er bösartige Payloads direkt in den Speicher des Geräts herunter.
Da die Malware direkt in den Speicher eingeschleust wird, hinterlässt sie kaum Spuren, die von der Antivirensoftware erkannt werden können. Eines der hervorgehobenen Beispiele war der Vorfall im Jahr 2024, bei dem sich Booking.com für die Durchführung von Phishing-Kampagnen ausgab. Die Opfer erhielten gefälschte Reisebestätigungs-E-Mails, die zu einer geklonten Website mit einer CAPTCHA-Eingabeaufforderung führten.
Hier sind einige gängige Methoden, um vor ClickFix-Angriffen geschützt zu bleiben
Microsoft berichtete, dass ClickFix für 47 % aller Erstzugriffsvorfälle verantwortlich war, die im vergangenen Jahr von seinem Defender-Expertenteam registriert wurden. Der Technologieriese rät Organisationen und Einzelpersonen, sich auf Verhaltensbewusstsein zu konzentrieren. Vor allem, weil das, was ClickFix besonders gefährlich macht, darin besteht, dass sich Benutzer unwissentlich selbst infizieren.
Benutzern und Mitarbeitern wird empfohlen, darin geschult zu werden, niemals Code aus ungeprüften Quellen zu kopieren oder auszuführen, selbst wenn die Aufforderung legitim erscheint. Microsoft hat IT-Teams aufgefordert, die PowerShell-Protokollierung zu aktivieren und Zwischenablage-Terminal-Aktionen zu überwachen. Teams müssen außerdem Browser-Härtungsrichtlinien implementieren, um bösartige Skripte vor der Ausführung zu blockieren. Benutzer müssen Vorsichtsmaßnahmen befolgen, z. B. die Quelle überprüfen oder Installationen von Drittanbietern vermeiden, sofern dies nicht zwingend erforderlich ist. Es kommt selten vor, dass nur Vorsichtsmaßnahmen ein echter Lebensretter sein können.
