Cyberkriminelle nutzen eine neue, täuschend echte Masche, um an private Daten zu gelangen. Eine Angriffswelle namens „ClickFix“ tarnt sich als offizielles Windows-Update und verleitet Nutzer dazu, schädlichen Code auf ihren Computern auszuführen. Die Methode ist so überzeugend gestaltet, dass selbst vorsichtige Anwender in die Falle tappen können.
Die Angreifer präsentieren eine bildschirmfüllende Benachrichtigung, die einem echten Update-Vorgang von Windows zum Verwechseln ähnlich sieht. In dieser vertrauten Umgebung werden Nutzer aufgefordert, einen Befehl zu kopieren und auszuführen, um ein angeblich kritisches Sicherheitsupdate abzuschließen. Wer dieser Anweisung folgt, öffnet den Angreifern Tür und Tor zu seinem System.
Das Wichtigste in Kürze
- Eine neue Cyber-Kampagne namens „ClickFix“ nutzt gefälschte Windows-Update-Bildschirme.
- Nutzer werden dazu verleitet, einen Befehl manuell auszuführen, der Malware herunterlädt.
- Die Schadsoftware ist in einer Bilddatei versteckt und wird direkt im Arbeitsspeicher ausgeführt, was die Erkennung erschwert.
- Das Ziel der Angriffe ist der Diebstahl von Passwörtern, Browser-Cookies und anderen sensiblen Daten.
Wie der gefälschte Update-Bildschirm funktioniert
Die ClickFix-Kampagne hat ihre Taktik weiterentwickelt. Früher setzten die Kriminellen auf simple „Mensch-Verifizierung“-Seiten. Die neue Methode ist weitaus raffinierter. Besuchern einer kompromittierten Webseite wird ein Vollbildmodus aufgezwungen, der den Browser vollständig ausblendet und eine perfekte Kopie des Windows-Update-Prozesses anzeigt.
Der gefälschte Bildschirm zeigt bekannte Ladebalken und Systemmeldungen. An einem entscheidenden Punkt hält der angebliche Prozess an und fordert den Nutzer auf, ein „kritisches Sicherheitsupdate“ zu installieren. Dafür soll man das „Ausführen“-Fenster von Windows öffnen (Tastenkombination Windows + R) und einen Befehl aus der Zwischenablage einfügen.
Dieser Befehl ist der Schlüssel zum Angriff. Sobald er ausgeführt wird, startet im Hintergrund ein Prozess, der eine Verbindung zu einem von den Angreifern kontrollierten Server herstellt und eine erste Schadsoftware, einen sogenannten Dropper, herunterlädt.
Warum diese Methode so effektiv ist
Die Angreifer missbrauchen das Vertrauen der Nutzer in bekannte Systemprozesse. Ein Windows-Update, das den Bildschirm blockiert, ist ein gewohntes Szenario. Die Aufforderung, eine Aktion durchzuführen, um den Prozess abzuschließen, erscheint in diesem Kontext für viele plausibel. Die Kriminellen setzen darauf, dass Nutzer in diesem Moment nicht die Legitimität der Webseite oder des Befehls hinterfragen.
Eine unsichtbare Bedrohung durch Steganografie
Die eigentliche Raffinesse des Angriffs liegt in der Art und Weise, wie die Malware versteckt wird. Um von Antivirenprogrammen nicht entdeckt zu werden, nutzen die Angreifer eine Technik namens Steganografie. Dabei werden geheime Daten in harmlos wirkenden Dateien verborgen.
Nachdem der erste Befehl ausgeführt wurde, lädt ein Skript eine gewöhnliche PNG-Bilddatei herunter. Für das menschliche Auge und für viele Sicherheitsprogramme sieht diese Datei völlig normal aus. Doch in den Pixeldaten des Bildes ist der eigentliche Schadcode, der sogenannte Shellcode, versteckt. Die Angreifer verändern geringfügig die Farbwerte einzelner Bildpunkte, um die Malware Stück für Stück einzubetten.
Ein spezielles Skript auf dem Computer des Opfers weiß genau, wie es diese Pixeldaten wieder auslesen und den Schadcode im Arbeitsspeicher des Computers zusammensetzen muss. Da die Malware nie als separate Datei auf der Festplatte gespeichert wird, können herkömmliche Virenscanner, die nach verdächtigen Dateien suchen, den Angriff oft nicht erkennen.
Malware im Arbeitsspeicher
Durch das direkte Laden in den Arbeitsspeicher (RAM) umgeht die ClickFix-Malware die klassische Dateiprüfung. Der Schadcode wird anschließend in einen vertrauenswürdigen Windows-Prozess wie „explorer.exe“ eingeschleust. Von dort aus kann er unbemerkt agieren.
Das Ziel: Der Diebstahl Ihrer Daten
Sobald die Malware aktiv ist, beginnt sie mit ihrer eigentlichen Aufgabe. Bei den eingeschleusten Programmen handelt es sich um sogenannte „Infostealer“ wie LummaC2 oder Rhadamanthys. Diese sind darauf spezialisiert, sensible Informationen zu sammeln und an die Angreifer zu senden.
Zu den gestohlenen Daten gehören:
- Gespeicherte Passwörter aus Webbrowsern
- Anmeldeinformationen für E-Mail-Konten und andere Dienste
- Browser-Cookies, die für den Zugriff auf Online-Konten genutzt werden können
- Informationen über Kryptowährungs-Wallets
- Weitere persönliche Dateien und Systeminformationen
Der Diebstahl geschieht leise im Hintergrund, ohne dass der Nutzer etwas davon bemerkt. Die gestohlenen Daten können im Darknet verkauft oder für weitere Angriffe wie Identitätsdiebstahl und Betrug verwendet werden.
So schützen Sie sich vor dem Angriff
Da der ClickFix-Angriff auf eine Interaktion des Nutzers angewiesen ist, lässt er sich durch richtiges Verhalten vermeiden. Die folgenden Schritte helfen, Ihr System zu schützen:
- Führen Sie niemals Befehle von Webseiten aus: Betriebssystem-Updates erfordern niemals das manuelle Kopieren und Einfügen von Befehlen aus einem Browserfenster. Wenn eine Webseite Sie dazu auffordert, schließen Sie die Seite sofort.
- Prüfen Sie die Quelle von Updates: Echte Windows-Updates werden ausschließlich über die App „Einstellungen“ unter dem Punkt „Windows Update“ verwaltet. Jede Update-Aufforderung, die in einem Browser-Tab erscheint, ist ein Betrugsversuch.
- Verwenden Sie eine umfassende Sicherheitssoftware: Ein modernes Antivirenprogramm, das auch Verhaltensanalysen durchführt und speicherbasierte Bedrohungen erkennen kann, bietet einen besseren Schutz als rein dateibasierte Scanner.
- Seien Sie bei Vollbild-Seiten misstrauisch: Wenn eine Webseite ohne Ihre Zustimmung in den Vollbildmodus wechselt, ist das ein Warnsignal. Verlassen Sie diesen Modus mit der Esc-Taste oder Alt+Tab und schließen Sie den Tab.
- Nutzen Sie einen Passwort-Manager: Passwort-Manager füllen Anmeldedaten nur auf legitimen Webseiten automatisch aus. Wenn das Tool die Eingabe verweigert, sollten Sie die URL der Webseite genau prüfen.
„Der ClickFix-Angriff ist erfolgreich, weil er auf die Interaktion des Nutzers angewiesen ist. Nichts passiert, solange man den Anweisungen auf dem Bildschirm nicht folgt. Die Kriminellen kopieren vertraute Oberflächen, um die Wachsamkeit zu senken.“
Die wichtigste Verteidigungslinie ist ein gesundes Misstrauen gegenüber unerwarteten Aufforderungen. Indem Sie kurz innehalten und die Situation hinterfragen, können Sie verhindern, dass Sie den Angreifern selbst die Kontrolle über Ihr System übergeben.
