{"id":15970,"date":"2026-03-18T09:24:58","date_gmt":"2026-03-18T09:24:58","guid":{"rendered":"https:\/\/newestek.com\/?p=15970"},"modified":"2026-03-18T09:24:58","modified_gmt":"2026-03-18T09:24:58","slug":"clickfix-treibt-neue-infostealer-kampagnen-an","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15970","title":{"rendered":"ClickFix treibt neue Infostealer-Kampagnen an"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">\n<p>ClickFix-Kampagnen werden immer raffinierter und zielen verst\u00e4rkt auf WordPress-Webseiten.<\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\">Gorodenkoff | shutterstock.com<\/p>\n<\/div>\n<p>Cyberkriminelle kombinieren kompromittierte Websites mit immer raffinierteren Social-Engineering-K\u00f6der-Methoden, um neue Infostealer-Malware zu verbreiten. Bekannt ist das Ganze unter dem Namen ClickFix \u2013 und zudem effektiv: In einer einzigen Kampagne wurden \u00fcber 250 WordPress-Websites in zw\u00f6lf L\u00e4ndern infiziert.<\/p>\n<p>W\u00e4hrend diese Kampagne zu unauff\u00e4lligen, im Arbeitsspeicher ausgef\u00fchrten Schadprogrammen f\u00fchrt, beobachtete Microsoft parallel dazu einen weiteren Angriff, der Windows Terminal zum Ausf\u00fchren der Schadsoftware \u2013 anstelle des herk\u00f6mmlichen Ausf\u00fchren-Dialogs \u2013 nutzt.<\/p>\n<p>Die WordPress-Kampagne ist seit Dezember 2025 aktiv und konfrontiert Besucher mit gef\u00e4lschten Cloudflare-CAPTCHA-Abfragen, wie Forscher des Sicherheitsunternehmens Rapid7 <a href=\"https:\/\/www.rapid7.com\/blog\/post\/tr-malicious-websites-wordpress-compromise-advances-global-stealer-operation\/\" target=\"_blank\" rel=\"noreferrer noopener\">berichten<\/a>. Zu den kompromittierten WordPress-Websites geh\u00f6ren regionale Nachrichtenportale, Websites lokaler Unternehmen und sogar die offizielle Website eines US-Senatskandidaten.<\/p>\n<p>\u201eDer gro\u00dffl\u00e4chig durchgef\u00fchrte Angriff auf v\u00f6llig unabh\u00e4ngige WordPress-Instanzen weist auf einen hohen Automatisierungsgrad seitens der Angreifer hin und ist wahrscheinlich Teil einer organisierten, langfristigen kriminellen Handlung\u201c, hei\u00dft es in dem Bericht.<\/p>\n<h2 class=\"wp-block-heading\" id=\"drei-gut-getarnte-payloads\">Drei gut getarnte Payloads<\/h2>\n<p>Technisch gesehen, verschickt die WordPress-ClickFix-Kampagne drei separate Infostealer-Payloads \u2013 zwei davon bisher unbekannt \u2013 und nutzt eine Domain-Infrastruktur, die offenbar seit Juli 2025 existiert.<\/p>\n<p>Die Angreifer tarnen ihren eingeschleusten JavaScript-Code als Leistungsoptimierung, die nur dann aktiv wird, wenn der Browser des Besuchers keinen WordPress-Admin-Cookie besitzt. Auf diese Weise soll die Malware vor den Website-Administratoren verborgen werden.<\/p>\n<p>Das Skript ruft dann eine gef\u00e4lschte Cloudflare-CAPTCHA-Abfrage von einer von 14 Angreifer-kontrollierten Domains ab, die alle auf dieselbe IP-Adresse verweisen. Die gef\u00e4lschte CAPTCHA-Abfrage <a href=\"https:\/\/www.csoonline.com\/article\/3610611\/rising-clickfix-malware-distribution-trick-puts-powershell-it-policies-on-notice.html\" target=\"_blank\">fordert Besucher dann auf<\/a>, einen Befehl zu kopieren und in das Windows-Ausf\u00fchren-Dialogfeld einzuf\u00fcgen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"digitaler-gift-donut\">Digitaler Gift-Donut<\/h2>\n<p>Der sch\u00e4dliche Befehl besteht aus verschleiertem JavaScript- und PowerShell-Code, der den sogenannten DoubleDonut Loader im Arbeitsspeicher startet. Dieser Loader schleust Schadcode direkt in legitime Windows-Prozesse ein.<\/p>\n<p>\u201eDie Malware-Kette wird fast ausschlie\u00dflich im Arbeitsspeicher und im Kontext unauff\u00e4lliger Windows-Prozesse ausgef\u00fchrt, was die herk\u00f6mmliche dateibasierte Erkennung wirkungslos macht\u201c, erl\u00e4utern die Experten von Rapid7.<\/p>\n<p>Da die kompromittierten Websites unterschiedliche WordPress-Versionen oder -Plugins nutzen, gehen die Forscher davon aus, dass die Angreifer m\u00f6glicherweise schwache Zugangsdaten ausnutzen oder Exploits f\u00fcr mehrere Sicherheitsl\u00fccken kombinieren.<\/p>\n<h2 class=\"wp-block-heading\" id=\"vidar-stealer-variante-verwendet\">Vidar-Stealer-Variante verwendet<\/h2>\n<p>Der DoubleDonut Loader wurde dabei beobachtet, wie er eine neue Variante des bekannten Infostealers Vidar Stealer verbreitete. Dieser nutzt eine sogenannte Dead-Drop-Resolver-Technik, um seine Command-and-Control-Konfiguration und die dynamische API-Aufl\u00f6sung zu ermitteln.<\/p>\n<p>Zus\u00e4tzlich entdeckten die Forscher zwei bisher undokumentierte Infostealer, von denen einer in .NET und einer in C++ geschrieben ist. Die von Rapid7 Impure Stealer und VodkaStealer genannten Programme verwenden beide spezielle Techniken, um nicht entdeckt zu werden. Dazu z\u00e4hlen eine ungew\u00f6hnliche Datenkodierung, symmetrische Verschl\u00fcsselung der Kommunikation oder Sandbox-Erkennung mithilfe system- und zeitbasierter Pr\u00fcfungen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"koder-evolution\">K\u00f6der-Evolution<\/h2>\n<p>Auch die ClickFix-Taktiken entwickeln sich weiter. So identifizierte das <a href=\"https:\/\/www.csoonline.com\/article\/4141923\/clickfix-attackers-using-new-tactic-to-evade-detection-says-microsoft.html\" target=\"_blank\">Threat Intelligence Team von Microsoft<\/a> eine Kampagne, bei der der klassische Ausf\u00fchren-Dialog (Win+R) durch die Windows Terminal-App (Win+X) ersetzt wurde, um Befehle auszuf\u00fchren.<\/p>\n<p>Dabei wurden unter anderem der bekannte Lumma Stealer und die Fernwartungssoftware NetSupport RAT verbreitet. Eine weitere Angriffskette nutzte VBScript \u00fcber MSBuild sowie eine Technik namens Etherhiding, um Code zum Sammeln von Anmeldeinformationen herunterzuladen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"beliebt-bei-staatlichen-und-privaten-kriminellen\">Beliebt bei staatlichen und privaten Kriminellen<\/h2>\n<p>Das Sicherheitsunternehmen ESET sch\u00e4tzt, dass die ClickFix-Angriffe im letzten Jahr um 517 Prozent zugenommen haben. Die dabei verwendeten Varianten CrashFix, ConsentFix und PhantomCaptcha sollen dabei mit unterschiedlichen K\u00f6dern und Zustellungsmechanismen arbeiten.<\/p>\n<p>Diese grundlegende Social-Engineering-Taktik hat sich als so effektiv erwiesen, dass sie sogar von staatlichen Gruppen wie der nordkoreanischen Lazarus-Gruppe, der iranischen MuddyWater-Gruppe und der russischen APT28 angewendet wird. Bereits im Januar berichteten <a href=\"https:\/\/blog.sekoia.io\/meet-iclickfix-a-widespread-wordpress-targeting-framework-using-the-clickfix-tactic\/\" target=\"_blank\" rel=\"noreferrer noopener\">Forscher von Sekoia<\/a>, dass ein weiteres ClickFix-Framework namens IClickFix seit 2024 in \u00fcber 3.800 WordPress-Websites eingeschleust wurde.<\/p>\n<h2 class=\"wp-block-heading\" id=\"handlungsempfehlungen\">Handlungsempfehlungen<\/h2>\n<p>Betreiber von WordPress-Websites sollten sicherstellen, dass ihre Admin-Login-Bereiche nicht \u00f6ffentlich zug\u00e4nglich sind. Laut Rapid7 war dies bei fast allen Websites nicht der Fall.<\/p>\n<p>Zudem hat das Sicherheitsunternehmen Indikatoren f\u00fcr Kompromittierungen und YARA-Erkennungsregeln in seinem \u00f6ffentlichen GitHub-Repository ver\u00f6ffentlicht. (tf)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>ClickFix-Kampagnen werden immer raffinierter und zielen verst\u00e4rkt auf WordPress-Webseiten. Gorodenkoff | shutterstock.com Cyberkriminelle kombinieren kompromittierte Websites mit immer raffinierteren Social-Engineering-K\u00f6der-Methoden, um neue Infostealer-Malware zu verbreiten. Bekannt ist das Ganze unter dem Namen ClickFix \u2013 und zudem effektiv: In einer einzigen Kampagne wurden \u00fcber 250 WordPress-Websites in zw\u00f6lf L\u00e4ndern infiziert. W\u00e4hrend diese Kampagne zu unauff\u00e4lligen, im Arbeitsspeicher ausgef\u00fchrten Schadprogrammen f\u00fchrt, beobachtete Microsoft parallel dazu einen weiteren&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=15970\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15970","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15970"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15970\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}