Schutz vor ClickFix & Co.


Eine alte Bekannte, die nicht müde wird: ClickFix ist bei Cyberkriminellen nach wie vor beliebt
Die Angriffstaktik ClickFix wird von zahlreichen böswilligen Akteuren verwendet, in einigen Fällen auch von staatlich gelenkten Cyberkriminellen


Im Rahmen der kontinuierlichen Untersuchung der im Umlauf befindlichen Malware, haben die Spezialisten von Sophos X-Ops erneut ClickFix als eine zwar alte aber nach wie vor sehr aktive Bedrohung ausgemacht. Die Sicherheitsexperten identifizierten ein breites Spektrum von Organisationen, die in letzter Zeit von dieser Angriffsmethode betroffen waren. Darunter befanden sich insbesondere Unternehmen, die Customer-Relationship- und Kalenderdienste nutzen – Autohäuser, Kliniken und kleine Arztpraxen machten etwa ein Viertel der Organisationen aus, die im März von ClickFix und dem Trojaner SecTopRat betroffen waren.

Ein kriminelles Erfolgsmodell
Die Angriffstaktik ClickFix wird von zahlreichen böswilligen Akteuren verwendet, in einigen Fällen auch von staatlich gelenkten Cyberkriminellen. Ihr Einsatz hat hauptsächlich den Diebstahl von Zugangsdaten zum Ziel.

Dafür nutzen die Bedrohungsakteure kompromittierte Webressourcen - insbesondere JavaScript-Ressourcen, die von kompromittierten WordPress-Websites oder Website-Plugins von Drittanbietern bereitgestellt werden. Bei der Attacke wird ein JavaScript-Code von einer angegriffenen Website geladen, der den Anwender zu einer bestimmten Tastenkombination in einer vermeintlichen Sicherheitsprüfung verleiten soll. Die Tastaturkombination öffnet in Wirklichkeit jedoch das Windows-Befehlsfeld "Ausführen", fügt einen maliziösen Code ein und führt diesen dann aus. In vielen Fällen wird dabei der Trojaner SecTopRat installiert, der zum Diebstahl von Benutzernamen, Kennwörter und andere Informationen, die den Zugriff auf SaaS-Webseiten, Bankdaten oder Unternehmensnetzwerke erlauben, genutzt wird.

Die ClickFix-Technik ist zwar schon einige Jahre alt, jedoch gehen die Spezialisten von Sophos X-Ops nicht davon aus, dass diese Angriffsmethode in absehbarer Zeit verschwinden wird. Kompromittierte Anmeldedaten repräsentieren das größte Einfallstor für Netzwerkeinbrüche und daher existiert ein großer, lukrativer Markt für gestohlene Systemzugangsdaten. ClickFix und ähnliche Angriffstechniken mit Benutzerinteraktion und "Social Engineering", versprechen den Kriminellen eine hohe Erfolgsquote.

Daher sollten Unternehmen regelmäßig auf die Mitarbeiterinformation und Schulung setzen. Wer gut informiert ist, wird vermeintliche Sicherheitsüberprüfungen wie durch ClickFix nicht ausführen. Gleichzeitig sind die technische und menschliche Überwachung von Verhaltensweisen in der Infrastruktur entscheidend, um verdächtige Aktionen, wie die Verwendung der Windows-Verknüpfung "Ausführen", verdächtige PowerShell-Befehle oder Windows-Installationsprogramme, zu identifizieren. Network Detection and Response (NDR) oder Managed Detection and Response (MDR)-Services helfen Unternehmen, den Angreifern einen entscheidenden Schritt voraus zu sein. (Sophos: ra)

eingetragen: 08.05.25

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Verschleierung im Schlaf Bedrohung durch die Hackergruppe UNC3944

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen