Cybersecurity-Forscher warnen vor einer gefährlichen Weiterentwicklung der Social-Engineering-Kampagne ClickFix. Angreifer manipulieren Opfer nun, das legitime Windows Terminal zu starten, um Schadsoftware zu installieren. Diese Taktik umgeht traditionelle Sicherheitsvorkehrungen und stellt Unternehmen vor massive Herausforderungen.
Die Strategie: Vertrauenswürdige Tools als Trojaner
Die als ClickFix bekannte Angriffsmethode hat sich grundlegend verändert. Bisher lockten Kriminelle Nutzer in das Windows-Ausführen-Dialogfeld. Da Sicherheitssysteme dieses Muster nun zuverlässig erkennen, wechselten die Angreifer im März 2026 ihre Taktik. Sie instruieren ihre Opfer jetzt, mit der Tastenkombination Windows + X, gefolgt von I, das Windows Terminal zu öffnen.
Angriffe wie ClickFix zeigen, wie raffiniert Kriminelle psychologische Schwachstellen ausnutzen, um technische Hürden zu umgehen. Dieser Experten-Report enthüllt die psychologischen Mechanismen hinter solchen Attacken und bietet effektive Strategien zur Hacker-Abwehr. Anti-Phishing-Paket mit 4-Schritte-Anleitung kostenlos anfordern
Dieser Schritt ist hochgradig strategisch. Das Terminal ist ein legitimes Administrationswerkzeug, dessen Start selten Sicherheitswarnungen auslöst. Der Angriff beginnt typischerweise auf einer gefälschten Webseite, die eine Verifizierungs- oder Fehlerbehebungsseite vortäuscht. Interagiert der Nutzer, wird automatisch ein bösartiger Skriptcode in seine Zwischenablage kopiert. Unter dem Vorwand, einen technischen Fehler zu beheben, wird der Anwender dann aufgefordert, diesen Code im Terminal einzufügen und auszuführen. So tarnt sich die initiale Schadcode-Ausführung als routinemäßige Administrationsarbeit.
Komplexe Infektionskette täuscht Nutzer und Verteidiger
Hat das Opfer den Befehl eingefügt, startet eine stark verschleierte Ausführungssequenz. Ein kodierter Befehl startet versteckte Terminal- und PowerShell-Instanzen im Hintergrund. Diese laden dann ein komprimiertes Archiv und eine umbenannte, legitime Entpackungssoftware herunter.
Die Schadskripte richten sich dauerhaft auf dem infizierten Rechner ein. Sie erstellen versteckte Zeitplanaufgaben und konfigurieren gezielt Ausschlussregeln für Microsoft Defender, um sich vor späteren Scans zu schützen. Dieser mehrstufige Prozess ermöglicht die lautlose Installation der eigentlichen Schadsoftware, während der Nutzer von der Aktivität im Hintergrund nichts bemerkt.
Lumma Stealer erbeutet sensible Daten im Verborgenen
Das finale Ziel dieser ClickFix-Variante ist die Installation von Lumma Stealer. Diese weit verbreitete Malware stiehlt sensible Informationen. Um unentdeckt zu bleiben, nutzen die Angreifer eine fortgeschrittene Injektionstechnik namens QueueUserAPC. Dabei wird der Schadcode direkt in laufende Browser-Prozesse wie Google Chrome oder Microsoft Edge eingeschleust.
Aus dem geschützten Speicherbereich des Browsers heraus erntet Lumma Stealer systematisch hochwertige Daten: Gespeicherte Login-Daten, Session-Cookies, Browserverläufe und Informationen aus Krypto-Wallets. Da der Datenabfluss aus einem vertrauenswürdigen Prozess heraus erfolgt, übersehen ihn viele Netzwerküberwachungstools. Die gestohlenen Informationen landen auf Server der Angreifer und werden typischerweise in Darknet-Märkten verkauft oder für weitere Angriffe wie Ransomware-Infektionen genutzt.
Trend: Missbrauch von Bordmitteln des Betriebssystems
Der Wechsel zum Windows Terminal ist nur ein Beispiel für eine breitere Strategie. Bereits im Februar 2026 dokumentierten Forscher eine ClickFix-Variante, die das Windows-Netzwerkdiagnosetool für DNS-Abfragen missbrauchte. Dabei wurde ein Python-basierter Fernzugriffstrojaner heruntergeladen.
Da herkömmliche Schutzprogramme bei der Weaponisierung von Systemwerkzeugen oft versagen, müssen Unternehmen ihre Cyber-Abwehr proaktiv auf den neuesten Stand bringen. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie ihre IT-Sicherheit ohne hohe Investitionen gegen aktuelle Trends stärken. Gratis E-Book: Cyber Security Awareness Trends 2024 sichern
Diese Taktiken sind Teil einer „Living-off-the-Land“-Strategie. Cyberkriminelle weaponisieren native Systemwerkzeuge wie PowerShell, Terminal oder Netzwerk-Utilities. Dadurch reduzieren sie ihre Abhängigkeit von externen ausführbaren Dateien, die von Antivirensoftware leicht erkannt und blockiert werden. Die Kombination aus Nutzerinteraktion und vertrauenswürdigen Systemprogrammen stellt automatisierte Sicherheitslösungen vor enorme Probleme.
Konsequenzen für Unternehmen: Technik allein reicht nicht
Die rasante Evolution von ClickFix offenbart eine kritische Schwachstelle. Da die Angriffskette mit dem manuellen Ausführen eines Befehls durch das Opfer beginnt, umgeht sie übliche Schutzmechanismen wie die „Mark-of-the-Web“-Sperre for Downloads aus dem Internet. Die zunehmend raffinierte Gestaltung der betrügerischen Webseiten bedeutet, dass technische Kontrollen allein den initialen Bruch nicht mehr verhindern können.
Experten raten Unternehmen zu strengeren Ausführungsrichtlinien. Der Zugriff auf Windows Terminal und PowerShell sollte für normale Benutzer eingeschränkt werden. Sicherheitsteams müssen ihre Detektion anpassen und verdächtige Befehlszeilenausführungen sowie Clipboard-Aktivitäten überwachen, anstatt sich auf veraltete Indikatoren zu verlassen. Gleichzeitig wird eine kontinuierliche und spezifische Sensibilisierung der Mitarbeiter für die Risiken des Kopierens und Einfügens von Befehlen zu einem unverzichtbaren Bestandteil der Verteidigungsstrategie.
