Check Point warnt vor neuer Masche: FileFix ist gefährlicher als der Vorgänger ClickFix

Die Security-Experten von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, schlagen Alarm: Kriminelle haben eine neue Masche entwickelt, die gezielt das Vertrauen von Windows-Nutzern in alltägliche Funktionen ausnutzt. Die Methode heißt FileFix – und stellt eine noch tückischere Variante der bekannten ClickFix-Technik dar.

Statt wie ClickFix auf das Ausführen-Fenster von Windows zu setzen, nutzt FileFix den Windows Explorer – also ein Programm, das praktisch jeder täglich nutzt. Die Hacker greifen hier auf ein besonders perfides Vorgehen zurück: Eine gefälschte Website, auf die Nutzer etwa durch Phishing-Mails gelockt werden, öffnet ein echtes Windows-Explorer-Fenster auf dem Rechner. Gleichzeitig wird im Hintergrund ein verstecktes Skript ausgeführt, das eine manipulierte PowerShell-Befehlszeile in die Zwischenablage kopiert.

Anschließend fordert die Website den Nutzer auf, im Explorer die Adresszeile anzuklicken und den vermeintlichen Zielpfad per „Einfügen“ zu übernehmen. In Wahrheit wird dadurch der schädliche Befehl eingefügt – und beim Drücken der Eingabetaste ausgeführt. Die Folge: eine Malware wird heruntergeladen und gestartet – ganz ohne sichtbare Warnung oder weiteren Nutzerkontakt. Für das Opfer sieht alles völlig harmlos aus, als würde es einfach nur einen Ordner öffnen. Gerade das macht FileFix so gefährlich: Während viele Nutzer bei der Eingabe von Befehlen im Ausführen-Fenster misstrauisch werden, ist die Adresszeile im Explorer für die meisten Routine. Genau das nutzen die Angreifer aus.

Cyberkriminelle greifen zu – nur zwei Wochen nach Veröffentlichung

Erstmals vorgestellt wurde FileFix am 23. Juni 2025 durch einen unabhängigen Sicherheitsforscher . Nur zwei Wochen später, Anfang Juli, beobachtete das Check Point Research-Team bereits erste Versuche, die Methode für echte Angriffe zu nutzen – und zwar durch dieselbe Hackergruppe, die auch ClickFix verbreitet hatte.

Am 6. Juli entdeckten die Forscher eine neu registrierte Domain mit einer Phishing-Website, die auffallend an frühere Kampagnen dieser Gruppe erinnerte. Zwar war die dort verteilte Datei noch harmlos, doch vieles spricht dafür, dass sich die Angreifer auf eine groß angelegte Kampagne vorbereiten.

Hintermänner mit Erfahrung und System

Die Gruppe hinter FileFix ist bekannt dafür, sich auf große Krypto-Börsen zu spezialisieren und sich dabei hinter scheinbar seriösen Dienstleistern zu verstecken. Besonders häufig kommt sogenanntes SEO Poisoning zum Einsatz: Dabei werden manipulierte Webseiten über Suchmaschinen wie Google oder Bing nach oben in die Ergebnislisten gebracht. In einer kürzlich aufgedeckten Kampagne führte etwa ein Klick auf eine gefälschte Anzeige bei Bing zu einer täuschend echten Kopie der Webseite von 1Password. Typisch für die Gruppe ist zudem der Einsatz gefälschter CAPTCHA-Fenster – häufig nach dem Vorbild von Cloudflare – sowie die gezielte Übersetzung der Inhalte in verschiedene Sprachen, darunter Englisch, Koreanisch, Slowakisch und Russisch.

FileFix – keine Technik, sondern psychologische Manipulation

„Dass Hacker FileFix schon weniger als zwei Wochen nach der öffentlichen Vorstellung einsetzen, zeigt, wie schnell sie auf neue Methoden umschalten können“, erklärt Eli Smadja, Group Manager Security Research bei Check Point Software. „Wie bei ClickFix geht es hier nicht um technisch aufwendige Exploits, sondern um die gezielte Ausnutzung menschlichen Verhaltens. Der Wechsel vom Ausführen-Dialog zum Explorer macht die Angriffe schwerer erkennbar – weil sie in gewohnter Umgebung stattfinden. Genau das macht FileFix so gefährlich.“