ClickFix lebt – alte Masche, neue Opfer

Trotz ihres Alters bleibt die ClickFix-Technik unter Cyberkriminellen äußerst beliebt. Die Security-Experten von Sophos X-Ops haben die Methode im Rahmen ihrer fortlaufenden Malware-Analyse erneut als aktive Bedrohung identifiziert. Zu den jüngsten Zielen zählten unter anderem Autohäuser, Kliniken und kleine Arztpraxen – also Organisationen, die auf Kalender- und CRM-Dienste setzen. Im März waren rund ein Viertel der Betroffenen auch vom Trojaner SecTopRat betroffen.

Alt, aber wirksam: ClickFix als Zugangsdieb

Die ClickFix-Taktik dient dem Diebstahl von Zugangsdaten und wird von einer Vielzahl krimineller Gruppen genutzt – teils sogar von staatlich gesteuerten Akteuren. Der Angriff nutzt kompromittierte JavaScript-Ressourcen, meist über manipulierte WordPress-Seiten oder Plugins von Drittanbietern.

Über ein gefälschtes Sicherheitsfenster wird der Nutzer dazu verleitet, eine bestimmte Tastenkombination auszuführen. Diese öffnet das Windows-Tool „Ausführen“, über das ein schädlicher Befehl eingeschleust und direkt ausgeführt wird. In vielen Fällen installiert sich daraufhin SecTopRat – ein Trojaner, der Anmeldedaten für SaaS-Plattformen, Online-Banking oder interne Unternehmenssysteme stiehlt.

Prävention bleibt der Schlüssel

Obwohl ClickFix keine neue Bedrohung ist, bleibt sie wegen ihrer hohen Erfolgsquote gefährlich. Der Markt für gestohlene Zugangsdaten ist nach wie vor lukrativ – und Social-Engineering-Angriffe wie dieser funktionieren oft erschreckend gut.

Umso wichtiger ist es, Mitarbeitende regelmäßig zu sensibilisieren. Wer erkennt, dass es sich bei einer Sicherheitsprüfung um eine Fälschung handelt, kann sich schützen. Ebenso entscheidend sind technische Schutzmaßnahmen: Eine aufmerksame Überwachung der Infrastruktur – sowohl durch Menschen als auch durch Systeme – kann verdächtige Aktivitäten wie unerwartete „Ausführen“-Befehle oder PowerShell-Nutzung frühzeitig aufdecken. Lösungen wie Network Detection and Response (NDR) oder Managed Detection and Response (MDR) verschaffen Unternehmen dabei einen wertvollen Vorsprung gegenüber den Angreifern.