ClickFix: Brandgefährliche Angriffe per CAPTCHA

Cyberkriminelle benutzen immer häufiger gefälschte Captchas, um sich mit einem fiesen Trick Zugang zu fremden Rechnern zu erschleichen. Im ersten Halbjahr stieg die Zahl der hochgefährlichen Angriffe um mehr als 500 Prozent an.

Mit solchen gefälschten CAPTCHAS und Fehlermeldungen locken die Cybergangster immer mehr Opfer in eine hinterlistige Malware-Falle (Foto: Eset)

Offenbar hat das Christkind den Cyberkriminellen ein besonders perfides Geschenk unter den Baum gelegt, das sich umgehend zu ihrem neuen Lieblingsspielzeug entwickelt hat: Seit Anfang des Jahres starten sie immer mehr Angriffe über sogenannte ClickFix-Modelle. Diese nutzen das Vertrauen in die inzwischen zur Absicherung von Webseiten und -Diensten allgegenwärtigen CAPTCHA-Abfragen (Completely Automated Public Turing test to tell Computers and Humans Apart) aus, um Opfer in eine brandgefährliche Malware-Falle zu locken.

Laut dem aktuellen Eset Threat Report für das erste Halbjahr 2025 ist die Anzahl der entsprechenden Attacken in den ersten sechs Monaten des Jahres um mehr als 500 Prozent nach oben geschossen. Damit hat sich die neue Betrugsmasche aus dem Stand auf den zweiten Platz der digitalen Gefahrenquellen katapultiert, nur der Dauerbrenner Phishing wurde von den Hackergruppen noch häufiger eingesetzt. Zudem wird der Schaden im Erfolgsfall besonders schnell besonders groß, insbesondere im Unternehmensumfeld. Umso wichtiger ist es, sich mit dem Angriffsweg auseinanderzusetzen und die Mitarbeiter entsprechend zu schulen.

ClickFix-Angriffe erkennen und vermeiden

Ihren Ausgang nehmen die ClickFix-Angriffe zumeist auf manipulierten Webseiten, mit denen die Cybergangster bekannte Dienste und Portale wie booking.com oder Google Meet nachahmen. Teilweise nutzen sie aber auch gekaperte echte Webseiten oder schadhafte E-Mail-Anhänge. Beim Betrachten wird den Nutzern eine vermeintliche CAPTCHA-Abfrage eingeblendet, die mit einer Fehlermeldung gekoppelt wird. Diese stellt sich den Nutzern als vermeintlich besonders nützlich dar, indem sie ihnen gleich einen bequemen Lösungsweg anbietet.

Auf diesem Umweg über die vertrauten Klickbildchen und -Abfragen sollen die potenziellen Opfer dazu gebracht werden, einen vorgegebenen Befehl in die Eingabeaufforderung oder das Terminal des Computers zu kopieren und ihn auszuführen. "Gerade weil solche Fehlermeldungen alltäglich geworden sind, wirken sie auf viele harmlos. Genau das macht ClickFix so gefährlich", erklärt Jiří Kropáč, Director of Threat Prevention Labs bei Eset..

So gefährlich sind ClickFix-Attacken

Statt der erhofften Freischaltung der gewünschten Inhalte und Dateien holen sich die Opfer damit jedoch Malware auf ihren Rechner, die von den Cyberkriminellen fortan als Einfallstor für verschiedenste Angriffe genutzt werden kann. "Einmal ausgeführt, öffnet der Befehl Tür und Tor für Schadsoftware, vom Passwort-Diebstahl bis hin zu Ransomware", warnt Kropáč.

Welch drastische Gefahren den Opfern im Nachgang drohen, lässt sich erahnen, wirft man einen Blick auf Esets Liste der bisher bei ClickFix-Angriffen genutzten Schadprogramme: Von Remote-Access-Trojanern wie AsyncRAT über Infostealer wie Lumma und Spionage-Frameworks wie Cobalt Strike bis hin zu hochaktueller erpresserischer Ransomware wie Interlock taucht dort quasi das gesamte Who-is-Who der größten aktuellen Cybergefahren auf.

Warum die Gefahr durch ClickFix auch Mac- und Linux-Nutzer betrifft und wie Unternehmen sich absichern sollten, lesen Sie auf Seite 2.

ClickFix attackiert gezielt auch Apple macOS und Linux

Im Gegensatz zu vielen anderen Angriffen konzentrieren sich die Hacker bei ClickFix nicht ausschließlich auf die Windows-Welt. Den Beobachtungen von Eset zufolge nehmen sie ganz gezielt auch die Nutzer von macOS- und Linux-Systemen ins Visier. Dazu nutzen sie eigens zugeschnittenen Schadcodes und Tricks, indem sie etwa Alt+F2-Befehle auf Linux-Desktops missbrauchen, um den Schadcode einzuschleusen.

Gemeinsam mit anderen Faktoren wie der verwendeten Schadsoftware und dem professionellen Ablauf der Angriffe, Teils auch als Ausgangsbasis für gezielte APT-Attacken, sowie der raschen Ausbreitung, deutet diese hohe Anpassungsfähigkeit darauf hin, dass sich gerade staatlich geförderte Hackergruppen derzeit häufig der ClickFix-Methode bedienen. Dies bestätigen die Untersuchungen der Security-Experten, die einige der beobachteten Kampagnen einschlägig bekannten Gruppen wie beispielsweise den russischen Akteuren von Callisto und Sednit, den nordkoreanischen Gruppierungen Lazarus und Kimsuky sowie der iranischen MuddyWater zuschreiben.

Ampeln zählen: O.K., Befehle ausführen: Niemals

Wer ein kurioses CAPTCHA angezeigt bekommt oder gar eine entsprechende Fehlermeldung, sollte das also umgehend als Alarmsignal erkennen und den Anweisungen keinesfalls Folge leisten. "Wenn eine Webseite Sie auffordert, etwas in ein Terminal einzufügen – stoppen Sie sofort. Kein seriöser Anbieter verlangt das", warnt Kropáč. Für Unternehmen ist es darüber hinaus essenziell, die PowerShell-Nutzung spätestens jetzt aktiv zu überwachen, beispielsweise mit EDR-Lösungen, sowie E-Mail-Anhänge, Browser und URLs konsequent abzusichern.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden