Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Social-Engineering und kein Ende: : Neue FileFix-Masche folgt auf ClickFix-Welle

Cyberkriminelle setzen zunehmend auf manipulierte CAPTCHA-Dialoge, um Nutzer zur Ausführung schädlicher Skripte zu bewegen. ClickFix-Angriffe stiegen in nur sechs Monaten um über 500 Prozent – jetzt taucht mit FileFix bereits die nächste gefährliche Variante auf.

THN/Stefan Mutschler (freier Journalist)BedrohungenSecurity-Management
Lesezeit 5 Min.

Die Sicherheitslage im Bereich Social Engineering verschärft sich dramatisch: Laut einer aktuellen Analyse des slowakischen Cybersicherheitsunternehmens ESET hat sich die Zahl der sogenannten ClickFix-Angriffe in der ersten Jahreshälfte 2025 um 517 Prozent im Vergleich zur zweiten Jahreshälfte 2024 erhöht. Die Methode hat sich zu einem bevorzugten Angriffsvektorentwickelt – mit wachsender Bedrohungsvielfalt und gezielten Angriffen auf Nutzer in Japan, Peru, Polen, Spanien und der Slowakei.

ClickFix: Ein Trick, der funktioniert – weltweit

ClickFix basiert auf einem einfachen, aber wirkungsvollen Prinzip: Die Opfer erhalten eine gefälschte Fehlermeldung oder werden zur Bestätigung eines vermeintlichen CAPTCHA aufgefordert. Statt eines echten Sicherheitschecks erscheint ein Dialog, in dem sie aufgefordert werden, einen Skriptbefehl zu kopieren und manuell auszuführen – über das Windows-„Ausführen“-Fenster oder das macOS-Terminal.

Der Erfolg der Methode ist enorm: Immer mehr Angreifer setzen auf ClickFix, da sie weder E-Mail-Anhänge noch Zero-Day-Schwachstellen benötigen. Alles basiert auf der Täuschung des Nutzers – eine klassische Social-Engineering-Taktik.

Die Verbreitung und Wirksamkeit dieser Angriffsmethode haben laut ESET dazu geführt, dass Bedrohungsakteure inzwischen sogenannte Builder anbieten, mit denen andere Angreifer präparierte Landingpages mit ClickFix-Täuschungen erstellen können.

Breites Arsenal: Von Infostealern bis Nation-State-Malware

Einmal aktiviert, führen die Skripte oft zur Installation von Infostealern, Ransomware, Remote Access Tools oder Kryptominern. In besonders schweren Fällen kommen auch maßgeschneiderte Schadprogramme zum Einsatz, die mutmaßlich von staatlich unterstützten Gruppen stammen.

„Die Liste der Bedrohungen, die mit ClickFix beginnen, wächst täglich“, warnt Jiří Kropáč, Director of Threat Prevention Labs bei ESET. „Die Methode ist schnell, flexibel und erschreckend effektiv.“

FileFix: Die nächste Welle rollt an

Inzwischen taucht mit FileFix bereits eine neue Social-Engineering-Technik auf, die auf ähnlichen Prinzipien basiert: Auch hier sollen Nutzer bewusst eine lokale Datei öffnen oder ausführen – unter dem Vorwand, ein Problem zu beheben oder Zugang zu geschützten Inhalten zu erhalten. Wie ein Security-Spezialist, der im Netz unter dem Pseudonym mrd0x auftritt erklärt, steht bei FileFix statt eines Dialogfelds der Windows-Dateiexplorer im Mittelpunkt.

FileFix nutzt zwei zentrale Funktionen von Windows und dem Webbrowser:

  • Die Fähigkeit des Dateiexplorers, Befehle über die Adressleiste auszuführen
  • Die Möglichkeit des Browsers, Text automatisch in die Zwischenablage zu kopieren

Der Ablauf:

  1. Das Opfer landet auf einer Phishing-Seite, die vorgibt, ein geteiltes Dokument bereitzustellen.
  2. Statt eines CAPTCHA erscheint der Hinweis, man solle mit STRG + L die Adressleiste im Dateiexplorer öffnen und dort einen Pfad einfügen.
  3. Beim Klick auf „Dateiexplorer öffnen“ wird dieser gestartet und gleichzeitig ein manipuliertes Skript in die Zwischenablage kopiert.

Was wie ein harmloser Dateipfad aussieht, ist in Wahrheit ein ausgeklügelter PowerShell-Befehl, der beim Einfügen sofort ausgeführt wird.

Tarnung durch Leerzeichen und Kommentarzeichen

Der Trick liegt in der Gestaltung des Pfads. Der kopierte Text beginnt mit einem PowerShell-Befehl und nutzt gezielt:

  • vorgeschaltete Leerzeichen, um den eigentlichen Code zu verstecken
  • ein Hash-Zeichen („#“) als Kommentarmarker, nach dem ein scheinbar harmloser Pfad zu einer Datei erscheint

Beispiel:powershell.exe -c ping example.com # C:\Dokumente\decoy.doc

Der Nutzer sieht nur den Teil hinter dem # – das vermeintliche Dokument. Tatsächlich wird aber der Befehl ping example.com ausgeführt – oder ein beliebiger anderer Schadcode. „Zudem hängt der PowerShell-Befehl den Dummy-Dateipfad als Kommentar an, um den eigentlichen Code zu verbergen“, so mrd0x.

FileFix ist ein Lehrstück in moderner Social-Engineering-Taktik: Kein Exploit, kein Schadcode-Download, keine Warnmeldung – nur ein clever getarnter Copy-Paste-Vorgang. ClickFix war nur der Anfang – mit FileFix hebt sich Social Engineering auf die nächste Stufe.

Auch klassisches Phishing mit neuer Raffinesse auf Expansionskurs

Die ClickFix- und FileFix-Welle ist nur ein Teil einer größeren Entwicklung: Aktuell entdecken Sicherheitsforscher auch im Bereich der klassischen Phishing-Kampagnen eine Vielzahl immer raffinierterer Modelle, die mit realistisch wirkenden Szenarien, offiziellen Domains und mehrfach verschachteltem Schadcode arbeiten – mit dem Ziel, Anmeldedaten, Zahlungsinformationen oder Systemzugriff zu stehlen. Experten dokumentieren gerade eine ganze Reihe neuer Täuschungsmethoden, die gezielt auf das Vertrauen der Nutzer in bekannte Marken, Institutionen und Dienste setzen.

Besonders gefährlich sind Phishing-E-Mails über echte .gov-Domains, die etwa nicht bezahlte Mautgebühren anmahnen. Nutzer werden auf gefälschte Seiten gelockt, wo persönliche und finanzielle Informationen abgefragt werden – meist mit hoher psychologischer Dringlichkeit.

Auch staatliche Verkehrsbehörden (DMVs) in den USA werden imitiert, um per SMS auf angebliche Mautverstöße hinzuweisen. Die Opfer werden auf betrügerische Seiten geleitet, die Ausweisdaten und Kreditkarteninformationen abgreifen.

Strategisches Domain-Aging und gefälschte Microsoft-Seiten

Ein besonders raffinierter Trick ist das sogenannte „strategische Domain-Aging“: Kriminelle registrieren Langzeit-Domains (LLDs), lassen sie über Wochen ungenutzt reifen und nutzen sie dann für gezielte Weiterleitungen – etwa auf manipulierte CAPTCHA-Seiten, die wiederum zu gefälschten Microsoft-Teams-Login-Seiten führen. Ziel: Die Microsoft-Zugangsdaten der Opfer. „Nutzer vertrauen Microsoft-Links oft instinktiv – und genau das machen Angreifer sich zunutze“, warnt das Sicherheitsteam von CyberProof.

Besonders effektiv sind auch Phishing-Mails mit SharePoint-Bezug. Diese enthalten Links zu vermeintlich legitimen Microsoft-Seiten unter Domains wie *.sharepoint[.]com. Die Seiten sehen aus wie echte Microsoft-Anmeldeseiten, dienen aber dem systematischen Diebstahl von Passwörtern.

Da die Seiten nur temporär und über individuelle Links erreichbar sind, entgehen sie oft automatischer Erkennung durch Virenscanner oder E-Mail-Gateways.

Neben klassischen Phishing-Formularen setzen viele Kampagnen auf mehrstufige Infektionsketten:

  • ZIP-Archive mit LNK-Dateien, die beim Öffnen PowerShell-Skripte starten und den Remcos RAT (Remote Access Trojan)installieren
  • RAR-Anhänge, die XWorm-Malware nachladen, während die E-Mail vorgibt, dass das Postfach fast voll sei
  • PDF-Dateien mit eingebetteten Links, die ZIP-Archive mit AutoIT-basierten Stealern wie Lumma enthalten
  • Gefälschte LogMeIn-Versionen, die über die eigentlich legitime Plattform Vercel verbreitet werden, um kompletten Systemzugriff zu erlangen

Fazit: Phishing wird professioneller, gezielter – und gefährlicher

Die aktuellen Entwicklungen zeigen: Phishing läuft immer weniger nach dem Gießkannenprinzip, sondern wird zur maßgeschneiderten Täuschung, unterstützt durch professionelle Infrastruktur, realistische Köder, KI-Unterstützung und technisches Feintuning. Unternehmen und Nutzer müssen mit einer neuen Qualität der Täuschung rechnen – von .gov-Mails über SharePoint-Links bis hin zu hinterhältigen Zwischenablage-Tricks.

Empfehlungen:

  • E-Mails und SMS mit Zahlungsaufforderungen besonders kritisch prüfen
  • Keine Links oder Dateien aus unbekannter Quelle öffnen
  • Login-Seiten immer über offizielle URLs aufrufen
  • Sicherheitslösungen um dynamische Phishing-Erkennung ergänzen
  • Mitarbeiter regelmäßig schulen – speziell zu neuen Täuschungstechniken

Das digitale Vertrauen ist zur Hauptangriffsfläche geworden – und Phishing wird immer besser darin, es auszunutzen – sowohl klassisch als auch mit neueren Methoden wie ClickFix und FileFix.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.