ClickFix-Angriff über Windows-Befehlszeile

In einem Bericht decken IT-Sicherheitsforscher von Microsoft eine neue Abwandlung von ClickFix-Angriffen auf. Angreifende fälschen dabei im Vorfeld CAPTCHA-Seiten. Wenn nun der User auf I am not a robot oder Verify klickt, wird automatisch ein präparierter Befehl in die Zwischenablage kopiert. Davon bemerkt der User allerdings nichts. Als nächstes verleiten die Angreifenden das Opfer dazu, die Tastenkombination Windows + X -> I zu drücken, statt Windows + R. Dadurch öffnet sich ein Windows-Befehlsfenster (PowerShell). Dort fügt der User den Inhalt der Zwischenablage ein und führt ihn mit administrativen Rechten aus.

Dies umgeht Schutzmaßnahmen, die eigentlich den Missbrauch des PowerShell-Fensters verhindern sollen. Mit weiteren Schritten schaffen die Angreifenden eine Persistenz im System. Der eingeschleuste Code enthält Funktionen zur Umgehung von Anti-Schadsoftware; am Ende wollen die Angreifenden Browser-Daten sowie andere sensible Informationen abziehen.

ClickFix basiert auf der geschickten Manipulation von Usern, damit sie bösartige Links anklicken oder schädliche Dateien herunterladen.

• Führen Sie in Befehlszeilen nur Befehle aus, die Sie kennen und verstehen.
• Wenn Sie in eine Befehlszeile den Inhalt der Zwischenablage einfügen, prüfen Sie die eingefügten Befehle besonders kritisch. Der Inhalt kann unbemerkt untergeschoben worden sein.
• Wenn Sie unsicher sind, wenden Sie sich an eine Person Ihres Vertrauens.