top of page

"ClickFix" Täuschung: Soziale Manipulation durch vermeintliche Problemlösungen

Die „ClickFix Deception Tactic“, oder zu Deutsch „ClickFix Täuschung“ ist eine Art Angriff, bei dem User dazu gebracht werden bösartige Befehle auf den Computern auszuführen. Dies geschieht dabei hauptsächlich durch das Kopieren von Befehlen in die Eingabeaufforderung oder PowerShell, was daraufhin zur Installation von Schadsoftware auf dem betroffenen Gerät führt.


Die Angreifer nutzen dabei verschiedene Anreize wie z.B. angebliche Lösungen für technische Probleme oder Sicherheitsüberprüfungen, um die Opfer dazu zu bringen, die schädlichen Befehle auszuführen. Die heruntergeladene Malware kann dann verschiedene schädliche Aktivitäten ausführen, wie z.B. Daten stehlen, den Computer fernsteuern oder Dateien verschlüsseln und Lösegeld verlangen.


Clickfix Schadsoftware erklärt
Clickfix? Was ist das eigentlich?

Wie funktioniert ClickFix?

Die ClickFix-Kampagne, die auch unter den Namen ClearFake und OneDrive Pastejacking bekannt ist, nutzt gefälschte Webseiten, die populäre Online-Dienste wie Google Meet, OneDrive und Co imitieren. Dabei werden Nutzer dazu verleitet, auf Fehlermeldungen zu reagieren, die auf der jeweiligen Webseite angezeigt werden. Diese fordern sie dann auf, einen PowerShell-Code auszuführen, um angebliche Probleme mit der Webseite zu beheben.


Was in Wirklichkeit passiert? - Der schadhafte Code wird direkt im System ausgeführt und ermöglicht so die Installation von Schadsoftware, die persönliche Daten abgreifen kann.


Eine beunruhigende Entwicklung ist, dass diese Angriffe sehr geschickt an den Sicherheitsmechanismen vieler Systeme vorbeikommen. Da die Benutzer den Code selbst manuell ausführen müssen, fällt die Aktion oft nicht unter die üblichen automatischen Erkennungsmechanismen von Sicherheitstools. Unterhalb sieht man eine kurze Übersicht, wie solche Meldungen bei den Usern aussehen können.


Clickfix Meldungen auf Webseiten

Welche Systeme sind von ClickFix betroffen?

Von ClickFix sind sowohl Windows Betriebssysteme als auch MacOS betroffen. Je nachdem mit welchem Gerät man solche Webseiten, Mails und Co. öffnet werden andere Kommandos angezeigt.


Deswegen ist es erforderlich beide Systeme gleichermaßen zu schützen. Was sich aber überschneidet ist die Art der Schadsoftware, die installiert wird. Beide Malware-Arten sind darauf spezialisiert, sensible Informationen wie Passwörter, Zugangsdaten und Finanzdaten von den infizierten Rechnern zu stehlen.


Wer steckt hinter den Angriffen?

Die Cybersicherheitsfirma Sekoia hat die aktuellen Google Meet Angriffe zwei kriminellen Gruppen zugeordnet:


  • Slavic Nation Empire und

  • Scamquerteo,


die jeweils Untergruppen der Netzwerke markopolo und CryptoLove sind.


Auffällig ist, dass beide Gruppen ähnliche Techniken und Infrastrukturen verwenden, was darauf hindeutet, dass sie entweder zusammenarbeiten oder einen gemeinsamen Drittanbieter nutzen, der die Infrastruktur bereitstellt.


Was kann ich als Unternehmen gegen ClickFix tun?

Um sich effektiv gegen diese Art von Angriffen zu verteidigen, empfiehlt es sich die Schulungen in den Unternehmen anzupassen und darauf aufmerksam zu machen. Gehen Sie explizit auf folgende Themen ein:


  • Sollte beim Surfen eine Fehlermeldung erscheinen muss immer die lokale IT kontaktiert werden.


  • Machen Sie nochmals darauf aufmerksam, dass Dateianhänge in Mails nicht geöffnet werden sollten, wenn diese verdächtig erscheinen.


  • Zeigen Sie die beispielhaften Fehlermeldungen her um davor zu warnen (z.B.: in Form eines Newsletters).


  • Verwenden Sie eine Antivirenlösung, die auch Eingaben in PowerShell überwacht und dagegen vorgeht.


Wir helfen Ihnen gerne zu überprüfen, ob Sie gegen diese Art von Angriff geschützt sind. Dafür ist unsere Cybersecurity Beratung zu jeder Zeit für Sie da.







Kommentare
Deine Meinung teilenJetzt den ersten Kommentar verfassen.
bottom of page