{"id":5957,"date":"2025-11-26T14:13:26","date_gmt":"2025-11-26T14:13:26","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5957"},"modified":"2025-11-26T14:13:26","modified_gmt":"2025-11-26T14:13:26","slug":"neue-clickfix-kampagne-nutzt-fake-windows-updates","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5957","title":{"rendered":"Neue ClickFix-Kampagne nutzt Fake-Windows-Updates"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Cyberkriminelle nutzen eine gef\u00e4lschte Windows-Update-Seite, um Mitarbeiter anzugreifen.\n

PixieMe \/ Shutterstock<\/p>\n<\/div>\n

Forscher des Security-Anbieters Huntress sind k\u00fcrzlich auf eine neue ClickFix-Kampagne gesto\u00dfen, die auf Mitarbeiter in Unternehmen zielt. Laut Forschungsbericht <\/a>haben die Angreifer ihre Malware dabei in den Pixeln eines Bildes versteckt, das eine Windows-Update-Seite vort\u00e4uscht. Dort werden die Benutzer aufgefordert, auf Ausf\u00fchren zu klicken, um einen b\u00f6sartigen Befehl einzuf\u00fcgen und auszuf\u00fchren.<\/p>\n

Dieser Befehl liefert Infostealer LummaC2 und Rhadamanthys aus. Huntress weist darauf hin, dass sein Bericht nach dem 13. November ver\u00f6ffentlicht wurde, als der Ermittlungserfolg gegen Rhadamanthys<\/a> bekannt gegeben wurde. Demnach hosteten mehrere aktive Domains noch am 19. November die gef\u00e4lschte Windows Update -Seite, die mit der Rhadamanthys-Kampagne in Verbindung steht. \u201eAlle Fake-Seiten verweisen auf dieselbe codierte URL-Struktur, die zuvor mit dem Einsatz von Rhadamanthys in Verbindung stand\u201c, so die Forscher. Die Payload wird jedoch offenbar nicht mehr gehostet.<\/p>\n

ClickFix-Angriffe sind nichts Neues<\/h2>\n

Experten haben bereits zuvor vor ClickFix-Angriffen<\/a> (manchmal auch als \u201ePastejacking\u201c bezeichnet) gewarnt. Sie beginnen oft mit einem Phishing-K\u00f6der, der das Opfer auf eine realistisch aussehende gef\u00e4lschte Landing Page lockt, die vorgibt, eine Windows Update-Seite oder eine Website einer Regierungsbeh\u00f6rde zu sein. Der Kern des Angriffs besteht darin, den Benutzern Anweisungen zu geben, die das Klicken auf Eingabeaufforderungen und das Kopieren, Einf\u00fcgen und Ausf\u00fchren von Befehlen direkt im Windows-Dialogfeld \u201eAusf\u00fchren\u201c, Windows Terminal oder Windows PowerShell beinhalten. Dies f\u00fchrt zum Herunterladen von Skripten, die Malware starten.<\/p>\n

Ana Pham von Huntress betont gegen\u00fcber CSO, dass Steganografie f\u00fcr Malware-Operationen nichts Neues ist. \u201eDas Besondere daran ist die Umsetzung: Anstatt einfach nur sch\u00e4dliche Daten an eine Bilddatei anzuh\u00e4ngen, verschl\u00fcsselt diese Kampagne die Payload direkt in den RGB-Pixelwerten von PNG-Bildern, extrahiert Shellcode durch das Auslesen bestimmter Farbkan\u00e4le und wendet eine XOR-Entschl\u00fcsselung an.\u201c<\/p>\n

Dies sei aufwendiger als einfache Techniken zum Anh\u00e4ngen von Dateien, die darauf ausgelegt sind, signaturbasierte Erkennung zu umgehen.<\/p>\n

\u201eDie Taktik mit dem Windows Update-Motiv ist besonders effektiv, weil sie etwas nachahmt, was die Nutzer erwarten: eine Vollbild- -Seite von Windows Update mit realistischen Animationen\u201c, sagt sie. \u201eDer Quellcode dieser K\u00f6der enth\u00e4lt Kommentare in russischer Sprache und ist nicht stark verschleiert, sodass er relativ leicht von anderen Gruppen geteilt oder kopiert werden kann.\u201c<\/p>\n

Forscher der NCC Group haben k\u00fcrzlich einen weiteren Bericht<\/a> \u00fcber einen ClickFix-Angriff ver\u00f6ffentlicht, den sie im Mai 2025 entdeckt haben. Konkret geht es dabei um eine Drive-by-Kompromittierung und die Verwendung eines gef\u00e4lschten CAPTCHA-Popups \u2013 mit dem Ziel, den Lumma C2 Stealer zu installieren.<\/p>\n

Tipps zum Schutz<\/h2>\n

Der erste Schritt zur Verteidigung gegen Clickfix-Angriffen besteht laut dem Huntress-Experten Pham darin, die Ausf\u00fchrung der Malware zu unterbinden. \u201eDie effektivste Methode zur Abwehr von ClickFix ist die Deaktivierung des Windows-Ausf\u00fchrungsfelds\u201c, so Huntress, \u201eentweder durch \u00c4nderungen in der Windows-Registry oder durch Einsatz von GPO-Regeln (Group Policy Object), um die Interaktion mit dem Windows-Ausf\u00fchrungsfeld zu blockieren.\u201c<\/p>\n

Zudem wird eine Standardma\u00dfnahme zur Bek\u00e4mpfung aller Social-Engineering-Angriffe empfohlen: eine effektive Schulung der Mitarbeiter zum Thema Sicherheitsbewusstsein. \u201eStellen Sie sicher, dass die Anwender die ClickFix-Methodik kennen\u201c, hei\u00dft es in dem Bericht. \u201eBetonen Sie, dass legitime CAPTCHA- oder Windows-Update-Prozesse niemals das Einf\u00fcgen und Ausf\u00fchren von Befehlen erfordern.\u201c<\/p>\n

Au\u00dferdem sollten CISOsSie den RunMRU-Registrierungsschl\u00fcssel (der eine Kopie der zuletzt ausgef\u00fchrten Befehle aus dem Ausf\u00fchrungsfenster speichert) \u00fcberpr\u00fcfen, um festzustellen, ob Benutzer verd\u00e4chtige Befehle \u00fcber den Ausf\u00fchrungsdialog ausgef\u00fchrt haben.<\/p>\n

Pham empfiehlt au\u00dferdem den Einsatz von Endpoint-Monitoring \u00fcberwachung f\u00fcr verd\u00e4chtige Prozessketten \u2013 \u00a0insbesondere mit Blick auf F\u00e4lle, in denen explorer.exe mshta.exe oder PowerShell mit ungew\u00f6hnlichen Befehlszeilenargumenten startet.<\/p>\n

\u201eSicherheitsbewusstseinstrainings sind zwar wichtig, sollten aber nicht die einzige Verteidigungslinie sein\u201c, so Pham. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Cyberkriminelle nutzen eine gef\u00e4lschte Windows-Update-Seite, um Mitarbeiter anzugreifen. PixieMe \/ Shutterstock Forscher des Security-Anbieters Huntress sind k\u00fcrzlich auf eine neue ClickFix-Kampagne gesto\u00dfen, die auf Mitarbeiter in Unternehmen zielt. Laut Forschungsbericht haben die Angreifer ihre Malware dabei in den Pixeln eines Bildes versteckt, das eine Windows-Update-Seite vort\u00e4uscht. Dort werden die Benutzer aufgefordert, auf Ausf\u00fchren zu klicken, […]<\/p>\n","protected":false},"author":0,"featured_media":5956,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5957"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5957"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5957\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5956"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}