Nutzer starten Malware: ClickFix-Angriffskampagne setzt auf Windows Terminal

Microsoft warnt vor einer im Februar 2026 beobachteten ClickFix-Kampagne. Die setzt darauf, dass potenzielle Opfer bösartige Befehle im Windows-Terminal ausführen.

Das berichtet das Microsoft-Threat-Intelligence-Team auf Bluesky. Demnach handelt es sich um eine weitverbreitete ClickFix-Kampagne, die im Februar 2026 auf den Start des Windows-Terminals anstatt des sonst dafür gebräuchlichen Prozesses aus Windows-Taste + „R“ (öffnet den „Ausführen“-Dialog von Windows), darauffolgend dem Einkopieren des bösartigen Befehls und schließlich der Ausführung setzt.

Schadcode im Windows-Terminal

Bei der Kampagne weisen die Täter die potenziellen Opfer an, das Tastenkürzel aus Windows-Taste + „X“ zu drücken und dort dann „I“ auszuwählen. Das startet den Windows-Terminal (allerdings nicht, wie von Microsoft angegeben, die Version mit Administratorrechten, die liegt zumindest auf deutschen Windows-Systemen auf der Taste „a“). Im Terminal steht die PowerShell-Umgebung bereit, die üblicherweise auch für administrative Aufgaben genutzt wird.

Dieser Ansatz umgeht Erkennungen, die speziell auf den Missbrauch des „Ausführen“-Dialogs angepasst sind. Zugleich nutzt er die bekannte Umgebung des Windows-Terminals aus. Sobald das Terminal gestartet ist, leiten die Täter die Opfer an, bösartige PowerShell-Befehle auszuführen. Die Befehle liefern sie dabei mittels gefälschter CAPTCHA-Seiten aus, oder über angebliche Prompts zu Problemlösungen sowie über Köder, die an geläufige Verifikationsmechanismen erinnern.

Der initiale Befehl ist Hex-kodiert und „XOR-komprimiert“, erklären Microsofts IT-Forscher. Er öffnet weitere Windows-Terminals mit PowerShell, die zur Dekodierung der eingebetteten Hex-Befehle dienen. Die laden eine legitime, umbenannte 7-Zip-Binärdatei herunter, die eine mehrstufige Angriffskette entpackt und startet. Diese umfasst zusätzliche ausführbare Dateien, geplante Aufgaben, Ausnahmen für den Microsoft Defender und schließlich Ausleitung von gestohlenen Maschinen- und Netzwerk-Informationen. Schließlich mündet der Angriff in der Installation des Lumma Stealer, der sich etwa in Chrome- und Edge-Webbrowser-Prozesse einklinkt und dort Web- und Login-Daten sowie gespeicherte Zugangsdaten sucht und an die Server der Täter schickt. Eine zweite Variante nutzt die „EtherHiding“-Technik, bei der eine Blockchain als Command-and-Control-Server und zur Verschleierung des Cyberangriffs genutzt wird.

Mitte Februar hatten Microsofts IT-Sicherheitsforscher eine ClickFix-Variante beobachtet, bei der die Angreifer auf DNS-Antworten gesetzt haben. In diesen Antworten zu Anfragen zur Namensauflösung im Internet versteckten sie den schädlichen Code, der zur Installation von Malware führt.

(dmk)