Thought Leadership
Was als Trick kommerzieller Cyberkrimineller begann, wird nun zur Methode staatlich unterstützter Hackergruppen: Die ClickFix-Technik. Ursprünglich von finanziell motivierten Angreifern genutzt, um Sicherheitsmechanismen zu umgehen, wird sie inzwischen gezielt von Akteuren aus Nordkorea, dem Iran und Russland für Spionagezwecke eingesetzt.
Dabei werden Nutzer durch gefälschte Sicherheitsmeldungen manipuliert, bösartige PowerShell-Befehle selbst einzugeben – eine Umgehung klassischer Schutzmaßnahmen wie Virenscanner und Firewalls.
Nordkorea, Iran und Russland auf Täuschungskurs
Beobachtungen von Sicherheitsforschern der Firma Proofpoint zeigen: Zum Jahreswechsel 2024/2025 haben mehrere bekannte Gruppen wie TA427 (Nordkorea), TA450 (Iran) sowie UNK_RemoteRogue und TA422 (Russland) ClickFix erfolgreich in ihre Angriffsstrategien eingebunden. Die Angriffe erfolgten über täuschend echte E-Mails und Webseiten.
Beispielsweise täuschte TA427 Mitarbeiter von Think Tanks und schmuggelte die Spionagesoftware QuasarRAT auf ihre Rechner. Die iranische Gruppe TA450 wiederum nutzte gefälschte Microsoft-Warnungen, um sogenannte Remote-Monitoring-Tools zu installieren – und verschaffte sich damit umfassenden Zugriff auf ganze Systeme.
Auch russische Gruppen adaptierten die Methode: UNK_RemoteRogue verbreitete infizierte Word-Dokumente, während TA422 auf präparierte Google-Tabellen setzte und anschließend per Metasploit und SSH-Tunnel sensible Daten abgriff.
Täuschung statt Technik: Warum ClickFix so gefährlich ist
Der Clou an ClickFix: Der Nutzer wird zur Schwachstelle – nicht durch unachtsames Klicken, sondern durch aktive Beteiligung. Die klassische Infektionskette, etwa durch Makros in Office-Dokumenten, wird ersetzt durch eine psychologische Komponente. Wer den Anweisungen in gefälschten Sicherheitswarnungen folgt, infiziert sein System selbst – und umgeht dabei unbewusst technische Schutzbarrieren.
Ein Blick in die Zukunft digitaler Angriffe
Dass staatliche Hackergruppen ClickFix so schnell übernehmen, zeigt das Potenzial dieser Methode. Noch befindet sich die Technik in einer frühen Phase – doch Experten wie Proofpoint gehen davon aus, dass sie künftig verstärkt zum Einsatz kommen wird. Denn ClickFix ist nicht nur schwerer zu erkennen als viele herkömmliche Angriffsformen – es ist auch flexibler einsetzbar und erschreckend effektiv.
Weitere Informationen:
Die vollständige Analyse der Proofpoint-Experten finden Sie im neuesten Threat Blog des Cybersecurity-Unternehmens im englischen Original.
(vp/Proofpoint)
