Gefälschte Fehlermeldungen verleiten Internetnutzer zum Ausführen von Schadcode
Eine perfide neue Betrugsmasche breitet sich weltweit rasant aus: Unter dem Namen ClickFix täuschen Cyberkriminelle unter anderem gefälschte CAPTCHA-Prüfungen inklusive Fehlermeldungen vor – mit gravierenden Folgen für Nutzerinnen und Nutzer. Wie aus dem aktuellen ESET Threat Report H1 2025 hervorgeht, stiegen die Entdeckungen dieser Angriffsform in der ersten Jahreshälfte um über 500 Prozent. Die Angriffe rangieren damit bereits auf Platz zwei der häufigsten digitalen Bedrohungen, direkt hinter klassischem Phishing
Was sind Captchas?
Die Betrüger machen sich ein Prinzip zunutze, das vielen Internetnutzern vertraut ist: CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart). Das sind kleine Sicherheitsabfragen, die Webseiten nutzen, um sicherzustellen, dass ein Nutzer ein Mensch ist – und kein Bot. Typische Beispiele sind Bilderrätsel (“Klicken Sie alle Ampeln an”), Texteingaben oder Schiebepuzzle. Sie schützen etwa vor Spam oder automatisierten Angriffen.
So lockt ClickFix seine Opfer in die Falle
Die Betrüger setzten auf manipulierte Webseiten, die legitime Dienste wie Booking.com oder Google Meet imitierten. Alternativ versendeten die Hacker schadhafte E-Mail-Anhänge, die wie Microsoft Word oder Onedrive aussahen oder kompromittierten Websites, um gefälschte CAPTCHA-Überprüfungen auszuspielen. In allen Fällen erschien beim Zugriffsversuch eine angebliche Fehlermeldung verbunden mit einer simplen Anweisung: Der Nutzer soll einen angezeigten Befehl in die Eingabeaufforderung oder das Terminal seines Computers kopieren und ausführen – meist unter dem Vorwand, den Fehler zu beheben oder den Zugriff freizuschalten.
“Gerade weil solche Fehlermeldungen alltäglich geworden sind, wirken sie auf viele harmlos. Genau das macht ClickFix so gefährlich”, erklärt Jiří Kropáč, Director of Threat Prevention Labs bei ESET. “Einmal ausgeführt, öffnet der Befehl Tür und Tor für Schadsoftware, vom Passwort-Diebstahl bis hin zu Ransomware.”
Auch macOS und Linux sind betroffen
Anders als viele frühere Angriffe betrifft ClickFix nicht nur Windows-Nutzer. Auch macOS- und Linux-Systeme sind im Visier – darunter mit eigens zugeschnittenen Schadcodes und Tricks, etwa durch missbrauchte Alt+F2-Befehle auf Linux-Desktops.
Besonders alarmierend: Neben klassischen Cyberkriminellen nutzen auch staatlich unterstützte Gruppen die Methode. Laut Untersuchungen der IT-Sicherheitsforscher wurden bereits Kampagnen nordkoreanischer (Lazarus, Kimsuky), russischer (Callisto, Sednit) und iranischer (MuddyWater) Akteure beobachtet, die ClickFix zur Erstinfektion einsetzen.
Tarnung, Täuschung, Totalschaden
Die möglichen Schadprogramme, die durch ClickFix eingeschleust werden, lesen sich wie ein Who’s who der Cybergefahren: Infostealer wie Lumma, Remote-Access-Trojaner wie AsyncRAT, Cryptominer, Spionage-Frameworks wie Cobalt Strike – und immer öfter auch Ransomware. Jüngst wurde auch der Einsatz durch die Erpressersoftware Interlock dokumentiert.
“Wenn eine Webseite Sie auffordert, etwas in ein Terminal einzufügen – stoppen Sie sofort. Kein seriöser Anbieter verlangt das”, warnt Kropáč. Unternehmen sollten die PowerShell-Nutzung zudem mit EDR-Lösungen aktiv überwachen und E-Mail-Anhänge sowie URLs konsequent absichern.
Weitere Informationen zu Fake-Captchas und weiteren Cybercrime-Kampagnen gibt es in unserem Blogpost (https://www.welivesecurity.com/de/eset-research/eset-threat-report-h1-2025)
