DNS-basierte ClickFix-Angriffe umgehen klassische Sicherheitskontrollen : Neue Malware-Ketten nutzen Nslookup, Python-Loader und persistente RAT-Implantate

Die jüngste Offenlegung von Microsoft beschreibt eine neue Ausprägung der ClickFix-Taktik, bei der Angreifer Anwender dazu verleiten, über den Ausführen-Dialog von Windows einen Befehl auszuführen. Dieser stößt über das Werkzeug nslookup eine DNS-Abfrage an, die den nächsten Schadcode nachlädt. Anders als klassische Download-Mechanismen nutzt der Angriff damit einen fundamentalen Netzwerkdienst als Einfallstor.

ClickFix: Missbrauch von Vertrauen statt Schwachstellen

ClickFix ist keine neue Technik, hat sich jedoch in den vergangenen zwei Jahren stark verbreitet. Typischerweise erfolgt die Erstinfektion über Phishing, manipulierte Werbeanzeigen oder Drive-by-Downloads. Die Opfer landen auf gefälschten Seiten mit angeblichen CAPTCHA-Prüfungen oder Problemmeldungen und werden angewiesen, selbst einen Befehl auszuführen.

Der entscheidende Vorteil für Angreifer: Die Opfer infizieren ihre Systeme eigenständig. Dadurch lassen sich viele Sicherheitskontrollen umgehen. Die Methode hat zahlreiche Abwandlungen hervorgebracht, darunter:

• FileFix
• JackFix
• ConsentFix
• CrashFix
• GlitchFix

 Nslookup als verdeckter Staging-Kanal

In der nun beschriebenen Variante wird der Befehl nslookup genutzt, um eine gezielte DNS-Abfrage gegen einen fest hinterlegten externen Server auszuführen. Das Kommando läuft über cmd.exe und verwendet nicht den Standard-DNS-Resolver des Systems.

Microsoft beschreibt die neue DNS-Variante so: „Der initiale Befehl läuft über cmd.exe und führt eine DNS-Abfrage gegen einen fest kodierten externen Server aus … Die Antwort wird gefiltert und als zweite Nutzlast ausgeführt.“

DNS dient hier als „leichtgewichtiger Staging- oder Signalisierungskanal“. Laut Microsoft reduziert dieser Ansatz die Abhängigkeit von klassischen Webanfragen und lässt bösartige Aktivitäten leichter im normalen Netzwerkverkehr untergehen.

Von der DNS-Abfrage zur vollständigen Kompromittierung

Die nachgeladene Nutzlast startet eine mehrstufige Angriffskette:

• Download eines ZIP-Archivs von einem externen Server
• Extraktion und Ausführung eines bösartigen Python-Skripts
• Durchführung von Aufklärung und Systemanalyse
• Ablage eines Visual-Basic-Skripts zum Start von ModeloRAT

Zur Persistenz wird eine LNK-Verknüpfung im Windows Autostart-Ordner angelegt, sodass die Schadsoftware bei jedem Systemstart erneut ausgeführt wird. ModeloRAT ist ein Python-basierter Remote-Access-Trojaner, der zuvor bereits über CrashFix-Kampagnen verbreitet wurde.

Lumma Stealer und CastleLoader im Aufwind

Parallel warnte Bitdefender vor einer Zunahme von Lumma-Stealer-Aktivitäten. Auch hier kommen ClickFix-ähnliche Fake-CAPTCHA-Kampagnen zum Einsatz, die eine AutoIt-Variante von CastleLoader ausliefern.

CastleLoader prüft vor der Ausführung, ob Virtualisierungssoftware oder bestimmte Sicherheitsprogramme vorhanden sind. Erst danach wird die Stealer-Malware im Arbeitsspeicher gestartet. Zusätzlich nutzen Angreifer Köderseiten für Raubkopien und manipulierte Installationsprogramme. „Die Wirksamkeit von ClickFix beruht auf dem Missbrauch prozeduralen Vertrauens und nicht auf technischen Schwachstellen“, so Bitdefender zur Kernproblematik des Angriffs

Weitere Loader und globale Verbreitung

CastleLoader ist nicht der einzige Verteilmechanismus. Seit März 2025 wird Lumma Stealer auch über den sogenannten RenEngine Loader verbreitet, oft getarnt als Spiel-Cheats oder raubkopierte Software. Dieser installiert zunächst einen Hijack Loader, der schließlich den Stealer ausliefert.

Daten von Kaspersky zeigen, dass diese Kampagnen besonders Nutzer in Russland, Brasilien, der Türkei, Spanien, Deutschland, Mexiko, Algerien, Ägypten, Italien und Frankreich betreffen.

Die neue ClickFix-Variante zeigt einen klaren Wandel: Angreifer kombinieren Social Engineering mit legitimen Protokollen, um Erkennungssysteme zu umgehen. DNS dient dabei nicht mehr nur der Namensauflösung, sondern als verdeckter Kommunikations- und Steuerkanal.

Für Verteidiger bedeutet das, prozedurale Benutzerinteraktionen, DNS-Telemetrie und Skript-Ausführung stärker zu überwachen. Andernfalls könnten scheinbar harmlose Support-Anweisungen weiterhin zum Einfallstor für komplexe Remote-Zugriffs-Angriffe werden.

Erweiterter Blick auf das aktuelle Phishing-Geschehen

Die Entwicklungen fallen mit dem Auftreten zahlreicher Kampagnen zusammen, die ebenfalls Social-Engineering-Köder – darunter ClickFix – einsetzen, um unterschiedlichste Stealer-Malware und Loader zu verbreiten:

• Eine macOS-Kampagne, die Phishing- und Malvertising-Methoden nutzt, um den Odyssey Stealer zu verbreiten – ein Rebranding des Poseidon Stealer und zugleich ein Fork des Atomic macOS Stealer (AMOS). Die Schadsoftware exfiltriert Zugangsdaten und Daten aus 203 Browser-Wallet-Erweiterungen sowie 18 Desktop-Wallet-Anwendungen, um Kryptowährungen zu stehlen.
  „Über den reinen Diebstahl von Zugangsdaten hinaus fungiert Odyssey als vollwertiger Remote-Access-Trojaner“, so Censys. „Ein persistenter LaunchDaemon fragt alle 60 Sekunden das Command-and-Control-System nach Befehlen ab und ermöglicht beliebige Shell-Ausführung, Reinfektion sowie einen SOCKS5-Proxy zum Tunneln von Datenverkehr über kompromittierte Systeme.“

• Eine ClickFix-Angriffskette gegen Windows-Systeme, die gefälschte CAPTCHA-Verifizierungsseiten auf legitimen, jedoch kompromittierten Websites verwendet. Ziel ist es, Nutzer zur Ausführung von PowerShell-Befehlen zu verleiten, die den Informationsdieb StealC installieren.

• Eine E-Mail-Phishing-Kampagne, bei der eine bösartige SVG-Datei in einem passwortgeschützten ZIP-Archiv enthalten ist. Diese weist das Opfer an, über ClickFix einen PowerShell-Befehl auszuführen, was schließlich zur Installation des Open-Source-.NET-Infostealers Stealerium führt.

• Eine Kampagne, die die öffentliche Freigabefunktion generativer Systeme der künstlichen Intelligenz wie Anthropic Claude missbraucht. Dort werden schädliche ClickFix-Anleitungen zur Ausführung verschiedener macOS-Aufgaben (etwa „Online-Domain-Name-System-Resolver“) hinterlegt und über gesponserte Suchergebnisse bei Google verbreitet, um Atomic Stealer und MacSync Stealer zu installieren.
• Eine Kampagne, die Nutzer mit der Suchanfrage „macOS cli disk space analyzer“ auf einen gefälschten Medium-Artikel umleitet, der sich als Apple-Support ausgibt. Die dort platzierten ClickFix-Anweisungen laden anschließend Stealer-Payloads vom externen Server „raxelpak[.]com“ nach.
  „Die Command-and-Control-Domain raxelpak[.]com besitzt eine URL-Historie bis 2021, als dort offenbar ein Online-Shop für Arbeitsschutzkleidung gehostet wurde“, erklärte Moonlock Lab von MacPaw. „Ob die Domain übernommen oder nach Ablauf neu registriert wurde, ist unklar – sie passt jedoch zum Muster, gealterte Domains mit bestehender Reputation zur Umgehung von Erkennung zu nutzen.“
• Eine Variante derselben Kampagne, die ClickFix-Anleitungen zur angeblichen Installation von Homebrew über gesponserte Links mit Bezug zu Claude und Evernote bereitstellt, um Stealer-Malware zu installieren.
  „Die Anzeige zeigt eine reale, bekannte Domain (claude.ai) und keine gefälschte oder falsch getippte (typo-squatted) Adresse“, so AdGuard. „Ein Klick führt zu einer echten Claude-Seite, nicht zu einer Phishing-Kopie. Die Konsequenz ist klar: Google-Werbung plus vertrauenswürdige Plattform plus technisch versierte Nutzer mit hoher Folgewirkung ergeben einen äußerst wirkungsvollen Malware-Verteilungsvektor.“
• Eine macOS-Phishing-Kampagne per E-Mail, die Empfänger dazu bringt, ein AppleScript zur Behebung angeblicher Kompatibilitätsprobleme herunterzuladen und auszuführen. Dies führt zur Ausführung eines weiteren AppleScripts, das Zugangsdaten stiehlt und zusätzliche JavaScript-Payloads nachlädt.
  „Die Malware erteilt sich keine eigenen Berechtigungen“, erläuterte Darktrace. „Stattdessen fälscht sie TCC-Autorisierungen vertrauenswürdiger, von Apple signierter Binärdateien – darunter Terminal, osascript, Script Editor und bash – und führt bösartige Aktionen über diese Programme aus, um deren Rechte zu übernehmen.“
• Eine ClearFake-Kampagne, die gefälschte CAPTCHA-Köder auf kompromittierten WordPress-Seiten nutzt, um die Ausführung einer HTML-Application-Datei auszulösen und Lumma Stealer zu installieren. Zusätzlich kommen bösartige JavaScript-Injektionen zum Einsatz, die mittels der Technik EtherHiding einen Smart Contract auf der BNB Smart Chain ausführen und eine unbekannte Payload von GitHub nachladen.
  EtherHiding bietet Angreifern mehrere Vorteile: Schadverkehr kann sich in legitime Web3-Aktivität einfügen, und durch die Unveränderlichkeit sowie Dezentralität der Blockchain steigt die Widerstandsfähigkeit gegen Abschaltmaßnahmen.

Eine aktuelle Analyse von Flare zeigt zudem, dass Bedrohungsakteure verstärkt Apple-macOS-Systeme mit Infostealern und hochentwickelten Werkzeugen angreifen.

„Nahezu jeder macOS-Stealer priorisiert den Diebstahl von Kryptowährungen über alles andere“, so das Unternehmen. „Dieser Fokus spiegelt die ökonomische Realität wider: Kryptonutzer verwenden überproportional häufig Macs, speichern hohe Werte in Software-Wallets, und Transaktionen sind irreversibel – kompromittierte Seed-Phrasen führen unmittelbar zum endgültigen Verlust der Gelder.“

Auch vor veralteten Sicherheitsannahmen warnen die Fachleute deutlich: „Die Vorstellung, dass Macs in besonderer Weise resistent gegen Schadsoftware sind, ist nicht nur überholt, sondern sogar gefährlich. Unternehmen mit Mac-Nutzern brauchen gezielte Erkennungsmechanismen für typische Angriffsmuster unter macOS – zum Beispiel nicht signierte Programme mit Passwortabfragen, auffällige Terminal-Aktivitäten, Verbindungen zu Blockchain-Knoten ohne erkennbaren Finanzbezug sowie das Abziehen von Daten aus Schlüsselbund- und Browser-Speichern.“