This content is protected against AI scraping.
Ein neuer Einfall von Cyberkriminellen macht die Gefahr von gefälschten Windows‑Updates deutlich. Unter dem Namen ClickFix locken Angreifer Ein neuer Einfall von Cyberkriminellen macht die Gefahr von gefälschten Windows‑Updates deutlich. Unter dem Namen ClickFix locken Angreifer Windows-Nutzer:innen mit einer täuschend echten Update‑Animation, die in einem Vollbild‑Browserfenster angezeigt wird. Während das Bild den Anschein erweckt, ein echtes Systemupdate zu installieren, steckt dahinter ein heimlicher Schadcode, der in den Pixeln eines Bildes verborgen ist.
„Statt einfach bösartige Daten an eine Datei anzuhängen, wird der Schadcode direkt in den Pixeldaten von PNG‑Bildern kodiert und nutzt bestimmte Farbkanäle, um die Payload im Speicher zu rekonstruieren und zu entschlüsseln“, erklärten die Huntress‑Forscher.
Wie funktioniert der ClickFix‑Betrug?
- Täuschendes Fenster – Der Browser öffnet eine Seite, die exakt wie das offizielle Windows‑Update‑Fenster aussieht. Eine animierte Fortschrittsanzeige lässt den Nutzer glauben, dass ein wichtiges Sicherheitsupdate installiert wird.
- Anweisungen zum Tastendruck – Auf der gefälschten Seite wird das Opfer aufgefordert, bestimmte Tasten in einer festgelegten Reihenfolge zu drücken. Diese Tastenkombination löst über JavaScript automatisch das Kopieren von Befehlen in die Zwischenablage aus.
- Einfügen und Ausführen – Der Nutzer fügt die kopierten Befehle in die Windows‑Eingabeaufforderung (cmd) ein und bestätigt sie. Dabei wird ein kleiner Befehl gestartet, der das eigentliche Schadprogramm herunterlädt und ausführt.
- Versteckte Payload – Der eigentliche Schadcode ist nicht als separate Datei zu sehen, sondern in den Farbinformationen eines PNG‑Bildes versteckt (Steganographie). Beim Ausführen wird das Bild entschlüsselt, der Code zusammengesetzt und im Arbeitsspeicher gestartet.
Was steckt hinter der versteckten Malware?
Die untersuchten ClickFix‑Varianten haben zwei bekannte Informationsdiebe ausgeliefert:
- LummaC2 – ein Remote‑Access‑Trojaner, der Angreifern Fernsteuerung über das infizierte System ermöglicht.
- Rhadamanthys – ein weiterer Dieb, der persönliche Daten sammelt und an die Angreifer sendet.
Beide Programme werden über das Windows‑Hilfsprogramm mshta.exe gestartet, das regulär HTML‑Applikationen ausführen kann. Anschließend übernimmt ein PowerShell‑Skript die weitere Verarbeitung, während ein spezielles .NET‑Modul („Stego Loader“) das verschlüsselte Bild entschlüsselt und den Schadcode in den Speicher lädt.
Acronis-Sicherheitsforscher benennen den neuen Angriff mit „JackFix“ und beobachteten ihn besonders auf zwielichtigen Websites
Warum ist der Angriff so erfolgreich?
- Realistisches Design – Die Animation sieht exakt wie ein echtes Windows‑Update aus, sodass selbst technisch versierte Nutzer selten misstrauisch werden.
- Automatisches Kopieren – Durch JavaScript wird der schädliche Befehl bereits in die Zwischenablage gelegt, sodass das Opfer nur noch „Einfügen + Enter“ drücken muss.
- Steganographie – Der Schadcode ist in den Bilddaten versteckt und nicht sofort als ausführbare Datei erkennbar. Das erschwert klassische Antiviren‑Erkennungen.
- Neueste Stealer-Varianten: Verwendet die neuesten Versionen von Rhadamanthys, Vidar 2.0, RedLine, Amadey sowie verschiedene Loader und RATs.
- “Adult content bait strategy:“ Die Kampagne nutzt gefälschte Websites für Erwachsene (xHamster, PornHub-Klone) als Phishing-Mechanismus, der wahrscheinlich über Malvertising verbreitet wird. Das Thema für Erwachsene und die mögliche Verbindung zu zwielichtigen Websites erhöhen den psychologischen Druck auf die Opfer, sodass diese eher bereit sind, den Anweisungen zur Installation eines plötzlichen „Sicherheitsupdates“ zu folgen.
Was können Sie tun, um sich zu schützen?
- Keine unbekannten Update‑Fenster bestätigen – Windows‑Updates werden immer über die Systemeinstellungen oder das offizielle Windows‑Update‑Programm durchgeführt – nie über einen Browser.
- Run‑Dialog deaktivieren – Der Windows‑Ausführen‑Dialog (Win + R) kann von Angreifern missbraucht werden. Deaktivieren Sie ihn, wenn Sie ihn nicht benötigen.
- Prozess‑Monitoring – Achten Sie darauf, dass Programme wie explorer.exe nicht plötzlich mshta.exe oder PowerShell starten. Solche Ketten sind ein starkes Warnsignal.
- Registry‑Eintrag prüfen – Im Schlüssel
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUwerden zuletzt eingegebene Befehle im Run‑Dialog gespeichert. Ein Blick darauf kann Hinweise auf verdächtige Aktivitäten liefern. - Antivirus‑ und Antimalware‑Programme aktuell halten – Moderne Sicherheitslösungen erkennen häufige Steganographie‑Techniken und blockieren das Laden von verdächtigen Skripten.