Executive Summary

Insikt Group identifizierte fünf verschiedene Cluster, die die Social-Engineering TTPs von ClickFix nutzen, um den ersten Zugriff auf Hostsysteme zu erleichtern. Diese Cluster, die mindestens seit Mai 2024 beobachtet wurden, umfassen solche, die sich als Finanzanwendung Intuit QuickBooks und das Reisebüro Booking.com ausgeben. Die Insikt Group nutzte den Datensatz Recorded Future ® HTML Content Analysis, der eine systematische Überwachung eingebetteter Webartefakte ermöglicht, um neue bösartige Domains und Infrastrukturen zu identifizieren und zu verfolgen.

Die Cluster zeigen deutliche Unterschiede in den Köderthemen und Infrastrukturmustern und verdeutlichen die Weiterentwicklung der TTPs, die über die einfache Verifizierung hinausgehen, indem sie die Opfer mit verschiedenen gefälschten Herausforderungen visuell täuschen und technische Raffinesse durch Betriebssystemerkennung demonstrieren, um Ausführungsketten anzupassen. Trotz dieser strukturellen Unterschiede ist die Funktionsweise im Wesentlichen dieselbe, was zeigt, dass die Kerntaktiken TTPs von ClickFix plattformübergreifend funktionieren und lediglich der Köder für Social Engineering an das jeweilige Opfer angepasst werden muss. Bedrohungsakteur manipuliert Opfer dazu, bösartige, verschleierte Befehle direkt in systemeigenen Tools wie dem Windows-Dialogfeld „Ausführen“ oder dem macOS-Terminal auszuführen.

Dieser Living-off-the-land-Ansatz (LotL) ermöglicht es bösartigen Skripten, im Arbeitsspeicher ausgeführt zu werden und so die herkömmlichen Sicherheitsvorkehrungen des Browsers und die Kontrollen der Endpunkte effektiv zu umgehen. Parallele Cluster, die auf so unterschiedliche Sektoren wie Buchhaltung, Immobilien und Rechtsdienstleistungen abzielen, deuten darauf hin, dass ClickFix sich zu einer standardisierten Vorlage mit hohem ROI sowohl für Cyberkriminelle als auch für potenziell fortgeschrittene persistente Bedrohungsgruppen (APT) entwickelt hat.

Um sich vor diesen Bedrohungen zu schützen, sollten Sicherheitsverantwortliche über die einfache Blockierung von Indikatoren hinausgehen und eine aggressive Verhaltenshärtung priorisieren. Zu den wichtigsten Empfehlungen gehören das Deaktivieren des Windows-Ausführen-Dialogfelds über Gruppenrichtlinienobjekte (GPO), die Implementierung des PowerShell Constrained Language Mode (CLM) und die Operationalisierung von Tools zur Prävention digitaler Risiken wie z. B. „Malicious Websites“ von Recorded Future, um Bedrohungen für Ihre digitale Infrastruktur zu identifizieren und zu beseitigen.

Aufgrund der zunehmenden Nutzung seit 2024 geht Insikt Group davon aus, dass die ClickFix-Methode auch im Jahr 2026 mit hoher Wahrscheinlichkeit ein primärer erster Zugriffsvektor bleiben wird, da Bedrohungsakteur weiterhin Opfer durch Social Engineering manipulieren, um die Ausnutzung zu ermöglichen. Mit Blick auf die Zukunft geht die Insikt Group davon aus, dass die ClickFix-Köder zunehmend technisch anpassungsfähiger werden und eine selektivere Browser-Fingerprinting-Methode beinhalten werden, während gleichzeitig weiterhin eine Infrastruktur genutzt wird, die schnell aufgebaut und wieder abgebaut werden kann. Neben technischen Verbesserungen geht Insikt Group davon aus, dass sich die Social-Engineering-Komponente weiterentwickeln wird und neue TTPs , Techniken und Verfahren) nutzen wird, um Opfer dazu zu verleiten, bösartige Befehle auszuführen.

Wichtige Erkenntnisse

• Die Insikt Group identifizierte und verfolgte fünf verschiedene ClickFix-Aktivitätscluster, die trotz einer gemeinsamen Abhängigkeit von betrügerischen Ködern zur menschlichen Verifizierung erhebliche operative Unterschiede in den Köderthemen und Infrastrukturmustern aufwiesen. Dies deutet darauf hin, dass sich die ClickFix-Methodik zu einer standardisierten Vorlage mit hohemROI entwickelt hat, die in einem fragmentierten Ökosystem von Bedrohungsakteur Anwendung findet.
• Obwohl sie visuell unterschiedlich sind, verwenden alle analysierten Cluster ein einheitliches Ausführungsframework, das die traditionellen Sicherheitskontrollen des Browsers umgeht, indem es den Angriffspunkt auf benutzerunterstützte manuelle Befehle verlagert. Diese Kampagne zielt auf eine Vielzahl von Branchen ab, darunter Buchhaltung (QuickBooks) und Reise (Booking.com). und Systemoptimierung (macOS).
• Die technische Ausführung von ClickFix folgt einem standardisierten vierstufigen Muster: Eingabe hochgradig kodierter oder fragmentierter Zeichenketten, native Ausführung über legitime System-Shells, Living-off-the-Land-Binärdateien (LOLBins), Remote-Zugriff über die Bedrohungsakteurkontrollierte Infrastruktur und sofortige In-Memory-Ausführung. Diese Methodik ermöglicht es Bedrohungsakteur Remote-Code mit begrenzten und kurzlebigen forensischen Artefakten auf dem Hostsystem bereitzustellen und auszuführen.

Hintergrund

ClickFix, das erstmals Ende 2023 dokumentiert wurde , hat sich von einer Nischen TTPs des Social Engineering zu einem Eckpfeiler des globalen Ökosystems der Cyberkriminalität entwickelt. ClickFix ist eine Social-Engineering-Methode, die Opfer dazu verleitet , manuell bösartige Befehle auszuführen, indem sie sich als notwendige technische Lösung für vorgetäuschte Systemfehler oder menschliche Bestätigungsaufforderungen ausgibt. Diese TTPs stellen eine evolutionäre Abkehr vom FakeUpdates (SocGholish) -Modell dar und priorisieren manuelle Benutzereingriffe, um die zunehmend robusten Sicherheitsfunktionen moderner Webbrowser und automatisierter Endpunkterkennungssysteme zu umgehen . In diesem Kontext verkörpert die Methodik den Ansatz „intelligent denken, nicht hart“. Die Einfachheit, die auf einer manuellen Benutzeraktion beruht, macht es zu einer wirksamen defensiven TTPs: Das Umgehen typischer browserbasierter Sicherheitsvorkehrungen erschwert die Erkennung, während die hohe Anzahl von Bedrohungsakteur die es verwenden, es schwierig macht, es in einer fragmentierten Bedrohungslandschaft zu verfolgen.

Der technische Kern der Methodik beruht in erster Linie auf Pastejacking, bei dem im Hintergrund laufendes JavaScript die Zwischenablage des Opfers mit einem verschleierten Befehl füllt , während dieses durch visuelle Köder wie betrügerische reCAPTCHA- oder Cloudflare Turnstile-Overlays abgelenkt ist. In einigen Fällen werden die schädlichen Befehle nicht automatisch in die Zwischenablage des Opfers eingefügt, sondern die Opfer werden dazu manipuliert, den Befehl manuell zu kopieren und auszuführen. Durch die Nutzung eines „Living-off-the-land“-Ansatzes (LotL) manipuliert Bedrohungsakteur die Benutzer dazu, diese Befehle direkt in vertrauenswürdigen Systemtools wie dem Windows-Dialogfeld „Ausführen“, PowerShell oder dem macOS-Terminal auszuführen . Diese benutzerunterstützte Ausführung ermöglicht es bösartigen Skripten, unbemerkt ausgeführt zu werden und herkömmliche Browser- und Endpunktsicherheitsmechanismen zu umgehen.

ClickFix wurde von einer Vielzahl von Bedrohungsakteur als Waffe eingesetzt, von Massen-Initial-Access-Brokern (IABs) bis hin zu hochentwickelten, staatlich geförderten Gruppen wie BlueDelta (auch bekannt als APT28) und der nordkoreanischen Gruppe PurpleBravo. Die Methodik ermöglicht ein wiederholbares und skalierbares Bereitstellungsframework, das in der Lage ist, eine breite Palette sekundärer Nutzlasten einzusetzen, darunter Infostealer wie Lumma Stealer und Vidar oder Remote-Access-Trojaner (RATs) wie NetSupport RAT und Odyssey Stealer. Diese Operationen werden häufig durch eine hochgradig anpassungsfähige, temporäre Infrastruktur unterstützt, die darauf ausgelegt ist, die Betriebskontinuität auch dann aufrechtzuerhalten, wenn einzelne Bereiche identifiziert und blockiert werden.

Technische Analyse

Die Insikt Group identifizierte und verfolgte fünf neu auftretende ClickFix-Cluster mithilfe des Recorded Future HTML Content Analysis-Datensatzes, der die systematische Überwachung eingebetteter Webartefakte ermöglicht. Durch die Verwendung eindeutiger technischer Kennungen, darunter spezifische Document Object Model (DOM)-Hashes, fest codierte Bildquellen-Tags und eindeutige Seitentitel, kartierte Insikt Group die Infrastruktur von ClickFix und identifizierte neue bösartige Domains und Infrastrukturen, was die Entdeckung aktiver Domains und die nahezu Echtzeit-Überwachung der Clusterentwicklung ermöglichte.

In den analysierten Clustern beschrieb die Insikt Group detailliert die ClickFix-Befehle, zu deren Ausführung die Opfer auf ihren Systemen manipuliert wurden. Diese Befehle waren zur Erreichung ihrer operativen Ziele stark auf LOLBins angewiesen. Mithilfe von LOLBins nutzte Bedrohungsakteur native, rechtmäßig signierte ausführbare Dateien, um schädliche Nutzdaten auf den Rechner des Opfers herunterzuladen. Je nach Sicherheitsimplementierung von persönlichen Rechnern oder Unternehmensendpunkten kann diese Methodik die Standarderkennung und grundlegende Sicherheitsprinzipien effektiv umgehen.

ClickFix-Cluster

Insikt Group identifizierte fünf Cluster (siehe Abbildung 1), die trotz gemeinsamer Nutzung der Social-Engineering TTPs von ClickFix erhebliche operative Unterschiede aufwiesen. Diese Cluster wurden anhand ihrer Infrastrukturmuster und Targeting-Ansätze definiert, die von logistikbezogenen Ködern bis hin zu einer dualen Plattform-Auswahllogik reichten. Dies deutet darauf hin, dass die ClickFix-Methodik in einem fragmentierten Ökosystem von Bedrohungsakteur eingesetzt wird, wobei jede die TTPs an ihre eigenen Auslieferungsanforderungen und Opferprofile anpasst.

Diese Cluster wurden auf der Grundlage von beobachtbaren Mustern in der Wiederverwendung von Infrastruktur, der Gestaltung von Ködern, der Ausrichtung auf Plattformen und den betrieblichen Anpassungen im Laufe der Zeit gruppiert. Obwohl sich die technischen Kernelemente und Bereitstellungsmechanismen überschneiden, behielt jedes Cluster innerhalb des Gesamtbildes eine eigene, unverwechselbare Präsenz. Die Insikt Group hat die Aktivitäten in die folgenden fünf Cluster unterteilt:

• Intuit QuickBooks: Gezielte Nachahmung von Buchhaltungssoftware, oft unter Ausnutzung veralteter Domains, um Sicherheitsfilter zu umgehen
• Booking.com: Nutzte betrügerische Domains, um gefälschte Verifizierungsportale darzustellen
• Birdeye: Ein groß angelegter Cluster, der Benutzer des AI Marketingunternehmens Birdeye anlockt, indem er Domains fälscht und die Opfer dazu manipuliert, einen bösartigen Befehl zur Auslieferung von NetSupport RAT zu verwenden.
• Dual-Plattform-Auswahl: Nutzte Betriebssystemerkennung, um plattformspezifische Köder und Malware auszuliefern.
• macOS-Speicherbereinigung: Verwendete gefälschte Eingabeaufforderungen, die eine macOS-Systemoptimierung vortäuschten, um Benutzer zur Ausführung verschlüsselter Terminalbefehle zu verleiten.

Cluster 1: Intuit QuickBooks

Cluster 1 war von Januar 2026 bis zum Zeitpunkt der Erstellung dieses Berichts aktiv und zielte hauptsächlich auf Organisationen ab, indem er Social-Engineering-Köder einsetzte, die die Buchhaltungssoftware Intuit QuickBooks imitierten. QuickBooks wird in den Vereinigten Staaten häufig für die Steuererklärung verwendet; da der aktive Zeitraum der Kampagne mit der US-Steuersaison (in der Regel Januar bis 15. April) zusammenfällt, geht Insikt Group mit mäßiger Sicherheit davon aus, dass der Zeitpunkt ein kalkulierter Versuch war, Einheit anzusprechen, die sich mit der Erstellung von Finanzberichten befassen. Obwohl sich diese Gruppe kürzlich auf die Nutzer des US-Immobilienmarktplatzes Zillow konzentriert hat, sind QuickBooks-bezogene Elemente und markenspezifische Bilder weiterhin tief im Document Object Model (DOM) der bösartigen Landingpages verankert.

Cluster 1 Profil

Infektionskette des Clusters 1

Die Infektionskette beginnt, wenn ein Opfer auf einer ClickFix-Landingpage landet. Die Seite präsentiert eine betrügerische Benutzeroberfläche zur menschlichen Verifizierung (siehe Abbildung 3), die das Opfer anweist, bestimmte "Verifizierungsschritte" durchzuführen.

Durch die Interaktion mit der Seite kopiert das Opfer unwissentlich einen schädlichen Befehl in seine Systemzwischenablage. Die TTPs führen häufig zur Ausführung über systemeigene Dienstprogramme wie den Windows-Ausführen-Dialog und PowerShell, wobei LOLBins genutzt werden, um herkömmliche browser- und endpunktbasierte Sicherheitskontrollen zu umgehen.

Nach dem Einfügen des Befehls wird ein verschleiertes PowerShell-Skript (Abbildung 4) in einem versteckten Fenster ausgeführt. Dieser Stager verwendet selbstreferenzielle Funktionsnamen, um Invoke-RestMethod dynamisch zu konstruieren und für die Domain nobovcs[.]com aufzurufen.

This request triggers the retrieval of a short PowerShell stager (see Figure 5) that downloads a second-stage payload, bibi.php, saving it to the %TEMP% directory as script.ps1. This stager is the initial execution step that kicks off the NetSupport RAT installation.

The bibi.php script is essential for the final deployment phase and for obfuscating on-disk artifacts. It contains a function called Get-RomanticName, which selects and combines strings from a thematic wordlist, including terms such as "Heart", "Soul", and "Desire", to generate a randomized folder name under %LOCALAPPDATA%, where the staging files are placed.

Das Skript ruft vier primäre Dateien von nobovcs[.]com ab. Einzelheiten siehe Tabelle 2.

Tabelle 2: Dateinamen und SHA256-Hashes der von nobovcs[.]com heruntergeladenen Dateien. (Quelle: Recorded Future)

Das Skript verwendet 7z.exe , um at.7z (geschützt durch das Passwort „pppp“) zu extrahieren, welches die NetSupport RAT-Binärdatei neservice.exe enthält. Die Persistenz wird durch das Kapern von Autostart-Verknüpfungen erreicht; falls keine vorhandene Verknüpfung gefunden wird, extrahiert das Skript lnk.7z in den Autostart-Ordner, um sicherzustellen, dass die Payload beim Neustart des Systems automatisch gestartet wird.

Nach erfolgreicher Ausführung sendet die Binärdatei neservice.exe eine HTTP-GET-Anfrage an gologpoint[.]com , um die Command-and-Control-Kommunikation (C2) zu initiieren. gologpoint[.]com wird zur IP-Adresse 62[.]164[.]177[.]230 aufgelöst.

Cluster 2: Booking.com

Cluster 2 war von Februar 2026 bis zum Zeitpunkt der Erstellung dieses Berichts aktiv und gab sich als das Reisebüro Booking.com aus. Die Insikt Group konnte den Cluster aufspüren, indem sie einen eindeutigen DOM-Hash ausnutzte, der durch die wiederholte Verwendung eines eindeutigen HTML-Titels und konsistenter Bilddateien durch den Bedrohungsakteur ermöglicht wurde. Indikatoren für einen Kompromittierungsprozess (IoCs), die in diesem Cluster gekennzeichnet sind, können in der Analyse Recorded Future HTML-Inhalts eingesehen werden. Die Landingpages für diesen Cluster verwenden eine gefälschte reCAPTCHA v2-Herausforderung, die die Opfer dazu auffordert, alle Fotos auszuwählen, die einen „Eimer“ enthalten (Abbildung 6). Die Insikt Group stellte fest, dass die gleichen Herausforderungsfotos auf allen analysierten Seiten in der gleichen Reihenfolge präsentiert werden.

Cluster 2 Profil

Infektionskette des Clusters 2

Der Prozess beginnt, sobald ein Opfer mit der gefälschten Herausforderung interagiert. Nach erfolgreichem Abschluss der Aufgabe wird das Opfer auf eine Verifizierungsseite weitergeleitet, auf der ein bösartiger PowerShell-Befehl (siehe Abbildung 8) in die Zwischenablage des Systems kopiert wird. Die Anweisungen auf der Verifizierungsseite verleiten das Opfer dazu, das Windows-Dialogfeld „Ausführen“ zu öffnen und den Befehl einzugeben. Durch die Ausführung dieses schädlichen Befehls wird die Infektionskette für NetSupport RAT gestartet.

Der in script.ps1 bereitgestellte PowerShell-Befehl (siehe Abbildung 9) wird mit den Flags -NoProfile und -ExecutionPolicy Bypass ausgeführt, um die Standardprotokollierungs- und Sicherheitsbeschränkungen zu umgehen. Nach der Ausführung lädt das System vier Staging-Dateien in ein Verzeichnis namens DesireSpark Serenade. Diese Verzeichnisbenennungskonvention ist funktional identisch mit der in Cluster 1 beobachteten "romantischen" Benennungsmethodik.

Der primäre Staging-Mechanismus verwendet script.ps1 , um sekundäre Nutzdaten vom Staging-Server abzurufen. In einem analysierten Fall stammten Skripte von thestayreserve[.]com. Ich habe mich an checkpulses[.]com gewandt, um die in Tabelle 4 aufgeführten Dateien abzurufen.

Tabelle 4: Dateinamen und SHA256-Hashes der von checkpulses[.]com heruntergeladenen Dateien. (Quelle: Recorded Future)

Das Hilfsprogramm 7z.exe dient zum Extrahieren der at.7z, welche die NetSupport RAT-Binärdatei neservice.exe enthält. Die Persistenz wird durch Hinzufügen eines Links zum Systemstartordner hergestellt.

Die in diesem Cluster beobachteten Domänen verwenden ein ähnliches PowerShell-Befehlsmuster. Sobald der Befehl jedoch ausgeführt wird, variiert die Infektionskette geringfügig je nach der verwendeten Staging-Infrastruktur. Im Falle von sign-in-op-token[.]com und thestayreserve[.]com Die schädlichen Befehle sind hinsichtlich Muster und Organisation identisch, die fest codierte Dropper-Domain lautet jedoch bkng-updt[.]com. und checkpulses[.]com, jeweils.

Obwohl die Staging-Domänen variieren, laufen die finalen Nutzdaten innerhalb dieses Clusters auf der gleichen NetSupport RAT C2-Infrastruktur zusammen (Tabelle 5).

Tabelle 5: In der Infektionskette von Booking.com beobachtete Indikatoren für Kompromittierung (Quelle: Recorded Future)

Nach der Installation gelangte die Schadsoftware von thestayreserve[.]com auf die Website thestayreserve[.]com. initiiert die Kommunikation (Abbildung 10) mit chrm-srv[.]com und ms-scedg[.]com, beide ergeben 152[.]89[.]244[.]70. Die Domain hotelupdatesys[.]com , wird zur gleichen IP-Adresse aufgelöst wie der NetSupport RAT C2 für sign-in-op-token[.]com.

Cluster 3: Vogelperspektive

Cluster 3 war von Mai 2024 bis zum Zeitpunkt der Veröffentlichung dieses Berichts aktiv. Wie bereits von der Insikt Group berichtet, nutzt dieser Cluster eine Infrastruktur, die sich auf Domains mit dem Schlüsselwort „bird“ konzentriert, um seine ClickFix-Köderseiten auszuliefern, die in der HTML-Inhaltsanalyse von Recorded Future nachverfolgbar sind. Diese Köder geben sich als Birdeye, ein AI -Marketingunternehmen, aus, um Opfer zur Ausführung bösartiger Befehle zu verleiten.

Cluster 3 Profil

Infektionskette Cluster 3

Die Infektionskette beginnt, wenn ein Opfer eine Kompress-Website besucht und mit einer CAPTCHA-Herausforderung im Cloudflare-Stil konfrontiert wird. Beim Interagieren mit der Seite wird das Opfer aufgefordert, einen Befehl im Windows-Dialogfeld „Ausführen“ auszuführen. Die Insikt Group identifizierte dieses Cluster, indem sie auf eindeutige technische Kennungen innerhalb der HTML-Artefakte zurückgriff, darunter ein einheitlicher und eindeutiger Seitentitel und ein statisches Bild, das in der gesamten Infrastruktur verwendet wird.

Der Befehl, zu dessen Ausführung das Opfer manipuliert wird, veranlasst das Gerät des Opfers, eine Verbindung zu alababababa[.]cloud herzustellen, um eine Nutzlast von hxxps[://]alababababa[.]cloud/cVGvQio6[.]txt herunterzuladen. Um den Verdacht weiter zu minimieren, wird das Opfer nach Ausführung des schädlichen Befehls auf die legitime Website birdeye.com umgeleitet (siehe Abbildung 12).

Die Analyse des JavaScript-Codes innerhalb des DOM für diesen Cluster, die im Anhang F bereitgestellt wird, lieferte Erkenntnisse über die Methoden des Bedrohungsakteur. Ein bemerkenswerter Teil des Skripts besteht aus sieben verschleierten Zeilen, die zu einer einzigen Zeichenkette verkettet und an die Zwischenablage des Opfers angehängt werden. Der Entwickler hinterließ Kommentare im Code, die den entschlüsselten Zweck jeder Zeile detailliert erläutern. Ein Kommentar kennzeichnet beispielsweise explizit den Teil des Befehls, der PowerShell mit bestimmten Flags aufruft (Abbildung 13).

Des Weiteren lässt sich ein am Anfang des Skripts verfasster Kommentar in kyrillischer Schrift wie folgt übersetzen: „Dies sollte dazu beitragen, die statische Analyse von Cloudflare zu umgehen.“ Diese interne Dokumentation lässt vermuten, dass der Bedrohungsakteur seine Maßnahmen zur Verfeinerung von Bypass TTPs gegen Sicherheitsscanner gezielt detailliert beschreibt.

Historisch gesehen, Alabababa[.]Wolke wurde mit der Verbreitung mehrerer Malware-Varianten in Verbindung gebracht , darunter Lumma Stealer und RedLine Stealer. Die große Anzahl der in diesem Cluster identifizierten Domains, die 40 einzigartige Einträge übersteigt, unterstreicht das Ausmaß des „Run and Repeat“-Modells, das zur Aufrechterhaltung dieser Aktivität verwendet wird.

Cluster 4: Auswahl zwischen zwei Plattformen

Cluster 4 war von März 2025 bis zum Zeitpunkt der Erstellung dieses Berichts in Betrieb. Dieses Cluster ist insofern einzigartig, als es die Betriebssystemerkennung nutzt, um maßgeschneiderte ClickFix-Köder sowohl für Windows- als auch für macOS-Benutzer bereitzustellen. Anders als beim Standardverhalten von ClickFix, bei dem Befehle normalerweise automatisch in die Zwischenablage kopiert werden, bietet diese Variante detaillierte manuelle Anweisungen, die vom Opfer verlangt, systemeigene Tools zu öffnen und die bereitgestellte Testnutzlast manuell zu kopieren und einzufügen. Eine der ClickFix-Seiten, die zur Analyse dieses Verhaltens verwendet wurden, war macosapp-apple[.]com, gehostet unter der IP-Adresse 45[.]144[.]233[.]192.

Cluster 4 Profil

Infektionskette Cluster 4

Die Infektionskette beginnt, wenn ein Opfer auf eine ClickFix-Seite gelangt, die es auffordert, zu bestätigen, dass es ein Mensch ist (Abbildung 15).

Sobald das Terminal geöffnet ist, wird das Opfer aufgefordert, einen mehrstufigen Befehl auszuführen, der angeblich „temporäre Systemdateien findet und entfernt“.

Tatsächlich verwenden diese Befehle (siehe Tabelle 9) unterschiedliche Kodierungsebenen, um ihre wahre Absicht zu verbergen; das erste Beispiel dekodiert eine hexadezimale Zeichenkette, um eine Base64-kodierte Client-URL-Anweisung (curl) aufzudecken, während das zweite direkt eine Base64-Zeichenkette dekodiert, um einen ausführbaren Befehl auszuführen. Beide Methoden umgehen letztlich die einfache Mustererkennung, indem sie die schädliche Nutzlast bis zur Ausführung verschleiern.

Wie aus Tabelle 10 hervorgeht, verwendet der enthüllte curl-Befehl einen zusammengesetzten Satz von Argumenten, in diesem Cluster -kfsSL, um die stille Zustellung zu ermöglichen. Diese Flags gewährleisten, dass die TLS-Zertifikatsprüfungen umgangen, serverseitige Fehler unterdrückt und der Prozess für den Benutzer verborgen bleibt, während er den Umleitungen folgt, um die endgültige Nutzlastdomäne zu erreichen.

Auf Grundlage historischer Belege (1, 2) und forensischer Muster geht die Insikt Group mit hoher Wahrscheinlichkeit davon aus, dass der Informationsdieb MacSync die primäre Payload war, die zur Infektion der Opfer in diesem Cluster verwendet wurde. Die bösartigen Befehle auf diesen Seiten veranlassten die infizierten Systeme, Kontakt mit einer bestimmten Staging- und C2-Infrastruktur aufzunehmen, die in Tabelle 11 detailliert aufgeführt ist. Bemerkenswerterweise befanden sich die Domains zwar in unterschiedlichem Umfang, wurden aber häufig hinter Cloudflare beobachtet, was eine Blockierung auf Netzwerkebene erschwerte.

Tabelle 11: C2-Server, die für die macOS-Cleaner Kampagne identifiziert wurden (Quelle: Recorded Future)

Analyse des Kopierbefehls

Die Insikt Group analysierte die Befehle in den fünf in dieser Studie identifizierten Clustern. Während die visuellen Anreize und die nachgeahmten Marken zwischen Gruppen wie Cluster 1 (Intuit QuickBooks) und Cluster 5 (macOS Storage Cleaning) variieren, bleibt die zugrunde liegende Ausführungslogik konsistent. Diese „Run-and-Repeat“-Methodik basiert auf einer kleinen Anzahl vertrauenswürdiger LOLBins und einer leichten Verschleierung, um Remote-Code mit minimalen forensischen Artefakten bereitzustellen.

Die technische Implementierung von ClickFix folgt auf allen Zielbetriebssystemen einem standardisierten vierstufigen Muster, wie in Tabelle 12 zusammengefasst.

Tabelle 12: Standardisiertes vierstufiges ClickFix-Ausführungsmuster (Quelle: Recorded Future)

Insikt Group identifizierte zwei primäre Befehlsstile, die in der macOS-zentrierten Kampagne verwendet werden, wie etwa Cluster 4 und Cluster 5, die in Tabelle 13 detailliert beschrieben werden.

Tabelle 13: Beobachtete Taktiken, TTPs, TTPs (TTPs) für macOS und Linux (zsh Und bash) Befehle (Quelle: Recorded Future)

Windows-basierte Befehle, insbesondere solche, die in Cluster 1 und Cluster 2 beobachtet wurden, weisen durch „Command Swizzling“ und Fallrandomisierung einen höheren Grad an Raffinesse auf, wie in Tabelle 14 gezeigt wird.

Tabelle 14: Beobachtete TTPs für Windows (PowerShell)-Befehle (Quelle: Recorded Future)

Gegenmaßnahmen

Um die Bedrohungen durch ClickFix Social Engineering und verwandte Living-off-the-Land (LotL) TTPs zu mindern, empfiehlt Insikt Group einen mehrschichtigen Verteidigungsansatz, der proaktives Intelligence Monitoring mit einer aggressiven Härtung der systemeigenen Dienstprogramme kombiniert.

• Operationalisierung der HTML-Inhaltsanalyse: Recorded Future Kunden sollten die HTML-Inhaltsanalysequellen nutzen, um Nachahmungen ihrer Marke zu überwachen, die zur Bereitstellung von ClickFix missbraucht werden. Nutzen Sie die Recorded Future Intelligence Operations Platform, um nach einzigartigen Webartefakten wie spezifischen Document Object Model (DOM)-Hashes und Seitentiteln zu suchen und so neue ClickFix-Domains in Echtzeit zu identifizieren.
• Nutzen Sie Bedrohungsinformationen Recorded Future : Kunden Recorded Future können dieser Bedrohung proaktiv entgegenwirken, indem sie die Daten der Recorded Future Intelligence Operations Platform operationalisieren, insbesondere durch die Nutzung kontinuierlich aktualisierter Risikolisten und durch das Blockieren von IP-Adressen und Domains, die mit ClickFix in Verbindung stehen, um die Kommunikation mit bösartiger Infrastruktur zu unterbinden.
• Überwachung von Listen mit Risiken für bösartige Infrastrukturen: Aktualisieren Sie kontinuierlich die SIEM- (Security Information and Event Management) und EDR-Tools (Endpoint Recognition and Antwort) mit Listen Recorded Future Risiken, um den Datenverkehr zu identifizierten Staging- und Command-and-Control-Domänen (C2) zu blockieren.
• Malware Intelligence nutzen: Setzen Sie die Recorded Future Intelligence Operations Platform ein, um nach Indikatoren für Kompromittierung (IoCs) zu suchen, die mit den in diesem Bericht identifizierten Payloads wie NetSupport RAT, Odyssey Stealer und Lumma Stealer in Verbindung stehen.
• Nutzen Sie Network Intelligence: Verwenden Sie Recorded Future Network Intelligence , um Exfiltrationsereignisse frühzeitig zu erkennen (z. B. solche im Zusammenhang mit NetSupport RAT), was dazu beitragen kann, Eindringversuche zu verhindern, bevor sie sich ausweiten. Dieser Ansatz basiert auf der umfassenden, proaktiven Infrastrukturerkennung durch die Insikt Group und der Analyse riesiger Mengen an Netzwerkverkehr.
• Nutzen Sie das Identity Module: Recorded Future Kunden sollten das Identity Module nutzen, um zu überwachen, ob Anmeldedaten und Passwörter, die von Datendieben gestohlen wurden, im Darknet verkauft werden.
• Deaktivieren des Windows-Ausführen-Dialogs über Gruppenrichtlinienobjekte (GPOs): In Unternehmensumgebungen können Sie die Tastenkombination Win+R und den Befehl "Ausführen" im Startmenü über Gruppenrichtlinienobjekte (GPOs) deaktivieren. Dies behindert die Ausführungskette von ClickFix erheblich, da die Opfer in der Regel angewiesen werden, bösartige Befehle direkt in dieses Dialogfeld einzufügen.
• Terminal- und PowerShell-Ausführung einschränken: Implementieren Sie den PowerShell Constrained Language Mode (CLM) und verwenden Sie AppLocker oder Windows Defender Application Control (WDAC), um die Ausführung nicht zugewiesener Skripte und den Missbrauch von Living-Off-The-Land-Binärdateien (LOLBins) zu verhindern. Unter macOS sollten Terminal und andere Shell-Interpreter (z. B. zsh und bash) mithilfe von Anwendungskontrollrichtlinien eingeschränkt werden, die über Mobile Device Management (MDM) durchgesetzt werden. System Integrity Schutz (SIP) und Endpoint Security Controls sollten genutzt werden, um die unautorisierte Skriptausführung und den Missbrauch nativer Befehlszeilenprogramme einzuschränken.
• Sensibilisierung und Schulung der Nutzer: Durchführung gezielter Social-Engineering-Simulationen, um die Nutzer gezielt über die Gefahren von „manuellen Verifizierungsaufforderungen“ aufzuklären, die das Kopieren und Einfügen von Befehlen in Systemdienstprogramme erfordern.

Ausblick

Die Identifizierung von fünf parallelen operativen Clustern, die auf verschiedene Sektoren wie Buchhaltung, Reisen, Immobilien und Rechtsdienstleistungen abzielen, deutet darauf hin, dass sich die ClickFix-Methodik von einer Nischen TTPs zu einer standardisierten Vorlage innerhalb des Ökosystems der Cyberkriminalität entwickelt hat. Dieses standardisierte „Run-and-Repeat“-Modell erleichtert die breitere Akzeptanz sowohl bei einfachen „Traffern“ als auch bei hochentwickelten Advanced Persistent Threat (APT)-Gruppen. Bedrohungsakteur können die Betriebskontinuität auch dann aufrechterhalten, wenn einzelne Domänen blockiert sind, da auf Einweginfrastruktur und gemeinsam genutzte technische Vorlagen zurückgegriffen werden kann.

Die Insikt Group geht mit hoher Wahrscheinlichkeit davon aus, dass die ClickFix-Methodik auch im Jahr 2026 ein stark genutzter erster Zugriffsvektor bleiben wird. Der anhaltende Erfolg von ClickFix beruht auf seiner Fähigkeit, fortgeschrittene browserbasierte Sicherheitskontrollen zu umgehen, indem der Angriffspunkt auf manuelle Aktionen des Benutzers verlagert wird. Solange systemeigene Dienstprogramme wie PowerShell und Terminal für Endbenutzer zugänglich bleiben, wird ClickFix Bedrohungsakteur weiterhin eine ertragreiche und unkomplizierte Alternative zu herkömmlichen Exploit-Kits bieten.

Mit Blick auf die Zukunft werden ClickFix-Köder voraussichtlich zunehmend technisch anpassungsfähiger werden. Zukünftige Versionen sollen eine detailliertere Browser-Fingerprinting-Methode beinhalten, um Nutzdaten abhängig von der Hardware, dem geografischen Standort oder dem Organisationsprofil des Opfers bedingt auszuliefern. Da Bedrohungsakteur bereits gezielt TTPs für statische Analyse-Engines in ihrem Code dokumentieren, rechnet Insikt Group mit einem langfristigen Trend hin zu robusteren und verschleierten Staging-Umgebungen. Diese Konvergenz von ausgeklügeltem Social Engineering und LotL TTPs erfordert einen Strategiewechsel in der Verteidigung, weg von der einfachen Blockierung von Indikatoren hin zu einer aggressiven Verhaltenshärtung der Systemhilfsmittel, auf die ClickFix angewiesen ist.

Anhang A: Indikatoren für Kompromittierungen

Anhang B: Cluster 1 – Intuit QuickBooks-Indikatoren

Appendix C: bibi.php Script

Anhang D: Cluster 2 – Booking.com-Indikatoren

Anhang E: Cluster 3 – Vogelperspektivenindikatoren

Anhang F: Birdeye Cluster Javascript

Anhang G: Cluster 4 – Indikatoren für die Auswahl von Dualplattformen

Anhang H: Cluster 5 – Indikatoren für die macOS-Speicherbereinigung

Anhang I: MITRE ATT&CK TTPs