Nutzer starten Malware: ClickFix-Angriffskampagne setzt auf Windows Terminal

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Microsoft warnt vor einer im Februar 2026 beobachteten ClickFix-Kampagne. Die setzt darauf, dass potenzielle Opfer bösartige Befehle im Windows-Terminal ausführen.

Das berichtet das Microsoft-Threat-Intelligence-Team auf Bluesky. Demnach handelt es sich um eine weitverbreitete ClickFix-Kampagne, die im Februar 2026 auf den Start des Windows-Terminals anstatt des sonst dafür gebräuchlichen Prozesses aus Windows-Taste + „R“ (öffnet den „Ausführen“-Dialog von Windows), darauffolgend dem Einkopieren des bösartigen Befehls und schließlich der Ausführung setzt.

Schadcode im Windows-Terminal

Bei der Kampagne weisen die Täter die potenziellen Opfer an, das Tastenkürzel aus Windows-Taste + „X“ zu drücken und dort dann „I“ auszuwählen. Das startet den Windows-Terminal (allerdings nicht, wie von Microsoft angegeben, die Version mit Administratorrechten, die liegt zumindest auf deutschen Windows-Systemen auf der Taste „a“). Im Terminal steht die PowerShell-Umgebung bereit, die üblicherweise auch für administrative Aufgaben genutzt wird.

Dieser Ansatz umgeht Erkennungen, die speziell auf den Missbrauch des „Ausführen“-Dialogs angepasst sind. Zugleich nutzt er die bekannte Umgebung des Windows-Terminals aus. Sobald das Terminal gestartet ist, leiten die Täter die Opfer an, bösartige PowerShell-Befehle auszuführen. Die Befehle liefern sie dabei mittels gefälschter CAPTCHA-Seiten aus, oder über angebliche Prompts zu Problemlösungen sowie über Köder, die an geläufige Verifikationsmechanismen erinnern.

Der initiale Befehl ist Hex-kodiert und „XOR-komprimiert“, erklären Microsofts IT-Forscher. Er öffnet weitere Windows-Terminals mit PowerShell, die zur Dekodierung der eingebetteten Hex-Befehle dienen. Die laden eine legitime, umbenannte 7-Zip-Binärdatei herunter, die eine mehrstufige Angriffskette entpackt und startet. Diese umfasst zusätzliche ausführbare Dateien, geplante Aufgaben, Ausnahmen für den Microsoft Defender und schließlich Ausleitung von gestohlenen Maschinen- und Netzwerk-Informationen. Schließlich mündet der Angriff in der Installation des Lumma Stealer, der sich etwa in Chrome- und Edge-Webbrowser-Prozesse einklinkt und dort Web- und Login-Daten sowie gespeicherte Zugangsdaten sucht und an die Server der Täter schickt. Eine zweite Variante nutzt die „EtherHiding“-Technik, bei der eine Blockchain als Command-and-Control-Server und zur Verschleierung des Cyberangriffs genutzt wird.

Mitte Februar hatten Microsofts IT-Sicherheitsforscher eine ClickFix-Variante beobachtet, bei der die Angreifer auf DNS-Antworten gesetzt haben. In diesen Antworten zu Anfragen zur Namensauflösung im Internet versteckten sie den schädlichen Code, der zur Installation von Malware führt.

(dmk)