Seit Dezember 2025 kompromittieren Cyberkriminelle legitime WordPress-Websites und missbrauchen sie als Waffe gegen ahnungslose Besucher. Mehr als 250 Seiten in 12 Ländern sind betroffen, darunter Nachrichtenportale, lokale Unternehmen und sogar die offizielle Website eines US-Senatskandidaten. Die Kampagne setzt auf ClickFix, eine Social-Engineering-Technik, die Opfer dazu bringt, Schadsoftware selbst auf ihren Rechnern auszuführen. Das Ergebnis: Vidar Stealer, Lumma Stealer und andere Infostealer plündern Passwörter, Browserdaten und Krypto-Wallets.
Was ist ClickFix und warum ist es so gefährlich?
ClickFix ist keine neue Schadsoftware im klassischen Sinne. Es ist eine Angriffstechnik, die seit Anfang 2024 beobachtet wird und auf menschliches Vertrauen setzt statt auf technische Exploits. Laut Microsoft Digital Defense Report 2025 macht ClickFix mittlerweile 47 Prozent aller beobachteten initialen Kompromittierungen aus und überholt damit traditionelles Phishing, das nur noch 35 Prozent ausmacht.
Das Funktionsprinzip ist erschreckend simpel: Ein Besucher öffnet eine kompromittierte Website. Statt des erwarteten Inhalts erscheint eine täuschend echte Cloudflare-CAPTCHA-Seite. Diese fordert den Nutzer auf, das Windows-Ausführen-Dialogfenster zu öffnen (Win+R), einen Befehl aus der Zwischenablage einzufügen und zu bestätigen. Wer gehorcht, startet damit einen mehrstufigen Infektionsprozess, der Schadsoftware herunterlädt und ausführt.
Der entscheidende Vorteil für Angreifer: Da das Opfer den Schadbefehl selbst ausführt, umgehen viele Sicherheitslösungen die Infektion. Das Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) warnt in einem Advisory vom Mai 2026 explizit, dass diese nutzergesteuerte Ausführung “einige präventive Sicherheitskontrollen umgeht und die Wahrscheinlichkeit einer erfolgreichen Kompromittierung erhöht”.
ESET hat das Wachstum der ClickFix-Aktivitäten in der ersten Jahreshälfte 2025 gemessen: 517 Prozent Anstieg gegenüber dem Vorjahreszeitraum. Das Center for Internet Security (CIS) hat ClickFix im gleichen Zeitraum als Ursache für mehr als ein Drittel aller Non-Malware-Albert-Alerts gegen US-amerikanische Behörden und staatliche Institutionen identifiziert.
Die technische Angriffskette im Detail
Die Infrastruktur hinter der aktuellen WordPress-Kampagne ist mehrschichtig aufgebaut. Sicherheitsforscher von Rapid7 haben die Angriffskette vollständig dokumentiert und im März 2026 veröffentlicht. Die Kampagne ist seit Dezember 2025 aktiv.
Phase 1: Kompromittierung legitimer WordPress-Sites
Angreifer stehlen zunächst Anmeldedaten von WordPress-Administratoren, oft durch Credential-Stuffing-Angriffe oder durch gestohlene Daten aus früheren Datenlecks. Anschließend installieren sie gefälschte Plugins oder injizieren schädlichen JavaScript-Code direkt in legitime Websites. Trend Micros Analyse der KongTuke-Gruppe zeigt, dass der injizierte JavaScript-Code von einem externen API-Server nachgeladen wird, was die direkte Erkennung im Quellcode der Website erheblich erschwert.
Phase 2: Die gefälschte CAPTCHA-Falle
Sobald ein Besucher die infizierte Seite aufruft, lädt das eingeschleuste JavaScript eine täuschend echte Cloudflare-Verifizierungsseite. Diese nutzt das etablierte Vertrauen in Cloudflare-CAPTCHAs gezielt aus. Die Seite instruiert den Nutzer, folgende Schritte auszuführen: Windows-Ausführen-Dialog öffnen (Win+R), den vorgefertigten Befehl aus der Zwischenablage einfügen und mit Enter bestätigen. Das Ergebnis ist ein PowerShell-Skript, das direkt auf dem Zielsystem ausgeführt wird.
Bei der KongTuke-Variante (Trend Micro) nutzt das Skript ausschließlich legitime Systemtools wie finger.exe, Dropbox-gehostete Dateien und portable Python-Umgebungen, um unter dem Radar zu bleiben. Diese Technik, bei der legitime Betriebssystemwerkzeuge für schädliche Zwecke eingesetzt werden, bezeichnet die Branche als “living off the land” (LotL).
Phase 3: Payload-Lieferung und Datendiebstahl
Je nach Kampagne wird eine von mehreren Infostealer-Varianten ausgeliefert. Rapid7 hat in der aktuellen WordPress-Kampagne folgende Payloads beobachtet: Vidar Stealer (Stiehlt Passwörter, Browserdaten, Krypto-Wallets und Systeminformationen), Impure Stealer (Fokus auf Browser-Credentials und gespeicherte Karten), Vodka Stealer (Spezialisiert auf Krypto-Wallet-Daten) sowie Double Donut, das häufig als Loader für weitere Payloads genutzt wird. Alle diese Payloads haben dasselbe Ziel: Zugangsdaten und Finanzinformationen des Opfers zu stehlen.
Die KongTuke-Gruppe: Täter im Profil
Trend Micro hat die Kampagne einer Bedrohungsgruppe namens KongTuke zugeordnet. Diese Gruppe ist für ihren Einsatz von ClickFix durch kompromittierte WordPress-Sites bekannt und betreibt diese Methode parallel zur neueren “CrashFix”-Variante, die Huntress-Forscher im Januar 2026 erstmals dokumentiert haben.
Besonders beunruhigend: KongTukes Malware, bekannt als modeloRAT, prüft vor der weiteren Infektion aktiv, ob das Zielsystem Teil einer Unternehmensdomäne ist und welche Sicherheitstools installiert sind. Das deutet auf eine gezielte Ausrichtung auf Unternehmensumgebungen statt auf opportunistische Infektionen hin. Heimanwender ohne Unternehmensdomäne werden gezielt übersprungen, um die Entdeckungswahrscheinlichkeit zu minimieren.
Trend Micros MDR-Team bestätigt in seiner März-2026-Analyse: “Die Malware prüft spezifisch, ob ein System Teil einer Unternehmensdomäne ist und welche Sicherheitstools installiert sind, bevor sie fortfährt. Das deutet auf einen Fokus auf Unternehmensumgebungen hin, nicht auf opportunistische Infektionen.”
Recorded Futures Insikt Group schätzt in einer Analyse vom März 2026, dass ClickFix “mit hoher Wahrscheinlichkeit der dominante initiale Zugriffsvektor durch das gesamte Jahr 2026 bleiben wird”. Aktuell nutzen nicht nur kriminelle Gruppen die Technik: Staatliche Akteure wie Kimsuky (Nordkorea), MuddyWater (Iran) und APT28 (Russland) haben ClickFix ebenfalls in ihr Repertoire aufgenommen, was die Bandbreite der Bedrohungsakteure besonders besorgniserregend macht.
Vidar Stealer: Die Hauptwaffe gegen Browserdaten
Vidar Stealer ist ein seit 2018 bekanntes, gut dokumentiertes Infostealer-Programm, das primär Windows-Systeme angreift. In der aktuellen ClickFix-Kampagne ist es die am häufigsten beobachtete Payload und Gegenstand des australischen ACSC-Advisories vom Mai 2026.
Das ACSC beschreibt Vidar Stealer als “Malware zum Diebstahl von Informationen, die Zugangsdaten, Browserdaten, Kryptowährungs-Wallets und Systeminformationen exfiltrieren kann, welche anschließend für weitergehende bösartige Aktivitäten genutzt werden können”. Im Einzelnen umfasst das: gespeicherte Browser-Passwörter und Cookies aus Chrome, Firefox, Edge und weiteren Browsern, Krypto-Wallet-Dateien und Seed-Phrasen von Bitcoin, Ethereum und anderen Coins, vollständige Systeminformationen zu Betriebssystem und Netzwerkkonfiguration sowie konfigurierbare Dateitypen und Screenshots.
Die gestohlenen Daten werden an Command-and-Control-Server der Angreifer übertragen und anschließend entweder direkt für Finanzbetrug genutzt oder auf Underground-Foren verkauft. Ein vollständiger Browser-Datensatz mit aktiven Sitzungstoken kann auf diesen Märkten mehrere Hundert Euro erzielen und ermöglicht es Käufern, ohne Passwort direkt auf Unternehmenskonten zuzugreifen. Besonders gefährlich: Aktive Session-Cookies umgehen auch Zwei-Faktor-Authentifizierung, weil die Sitzung bereits als authentifiziert gilt.
Das Stealer-Ökosystem: Lumma, Vidar und weitere Payloads im Vergleich
ClickFix ist kein Einzel-Payload-System. Die Technik dient als universeller Verteilungsmechanismus für verschiedene Infostealer. Laut Microsoft ist Lumma Stealer der häufigste Payload mit 51 Prozent der Infektionen. Die folgende Tabelle zeigt die wichtigsten Infostealer, die über ClickFix verbreitet werden:
| Infostealer | Anteil ClickFix-Infektionen | Primäres Ziel | Erstmals beobachtet | Verbreitungsmodell |
|---|---|---|---|---|
| Lumma Stealer | 51 % (Microsoft 2025) | Browser, Krypto, FTP | 2022 | Malware-as-a-Service ab 250 USD/Monat |
| Vidar Stealer | Hoch (ACSC Advisory Mai 2026) | Browser, Krypto-Wallets | 2018 | Einzelkauf ab ca. 130 USD |
| AsyncRAT | Häufig beobachtet | Remote-Zugriff, Keylogging | 2019 | Open Source, Kits ab 50 USD |
| DarkGate | Häufig beobachtet | Browser, VPN, Krypto | 2017 | Exklusiv-MaaS ab 5.000 USD/Monat |
| Impure Stealer | Beobachtet (Rapid7, 2026) | Browser-Credentials | 2025 | Nicht öffentlich bekannt |
| Vodka Stealer | Beobachtet (Rapid7, 2026) | Krypto-Wallets | 2025 | Nicht öffentlich bekannt |
| Atomic Stealer | Beobachtet (macOS) | macOS-Systeme, Krypto | 2023 | MaaS ca. 1.000 USD/Monat |
Betroffene Länder: Europa im Fadenkreuz
Rapid7 hat in seiner Analyse der WordPress-ClickFix-Kampagne Betroffene in mindestens 12 Ländern identifiziert. Für den deutschsprachigen Raum besonders relevant: Unter den explizit genannten betroffenen Ländern befinden sich Deutschland, die Tschechische Republik und die Schweiz. Die vollständige Liste umfasst Australien, Brasilien, Kanada, Tschechien, Deutschland, Indien, Israel, Singapur, die Slowakei, die Schweiz, das Vereinigte Königreich und die USA.
Österreich ist in den bisher veröffentlichten Berichten nicht explizit genannt, liegt jedoch geographisch und sprachlich mitten im Risikogebiet. Die Kampagne trifft keine Auswahl nach Sprache oder Standort, sondern nach der Erreichbarkeit und dem Traffic von kompromittierten Websites. Da viele österreichische KMU WordPress-Websites betreiben und als Angriffsvektoren oder Opfer in Frage kommen, ist das Risiko für Österreich als hoch einzuschätzen.
Das australische ACSC hat im Mai 2026 offiziell gewarnt, weil auch australische Unternehmen und Behörden sektorübergreifend gezielt angegriffen werden. Dieser behördliche Schritt signalisiert, dass die Kampagne eine Größenordnung und Schwere erreicht hat, die offizielle Reaktionen erfordert. Für österreichische Unternehmen ist es sinnvoll, schon jetzt zu handeln, bevor eine vergleichbare Warnung vom österreichischen CERT kommt.
WordPress als bevorzugtes Angriffsziel: Die Zahlen sprechen für sich
WordPress betreibt laut Branchendaten über 40 Prozent aller Websites weltweit. Für Angreifer ist die Plattform aus mehreren Gründen attraktiv. Patchstack hat im State of WordPress Security Report 2026 die aktuelle Bedrohungslage dokumentiert.
Im Jahr 2025 wurden im WordPress-Ökosystem über 11.000 neue Schwachstellen entdeckt, ein Anstieg von 42 Prozent gegenüber 2024. Mehr als 90 Prozent aller erfolgreichen Angriffe auf WordPress-Sites gehen auf Plugin- und Theme-Schwachstellen zurück, nicht auf Sicherheitslücken im WordPress-Kern selbst. Die mediane Zeit zwischen der Veröffentlichung einer Schwachstelle und deren massenhafter Ausnutzung beträgt laut hidemywpghost.com nur noch 5 Stunden. Erschwerend kommt hinzu, dass 87,8 Prozent der Exploits standardmäßige Hosting-Sicherheitsmaßnahmen umgehen.
Für die ClickFix-Kampagne bedeutet das: Die Angreifer haben eine gigantische Angriffsfläche. Schlecht gewartete WordPress-Sites mit veralteten Plugins sind ideale Sprungbretter für die Infektion von Besuchern. Sobald ein Angreifer Admin-Zugang zu einer legitimen, gut besuchten Website hat, kann er innerhalb von Minuten die ClickFix-Infrastruktur injizieren.
Ein weiterer Faktor: GoDaddy-Forscher haben im Juni 2026 eine parallele Kampagne entdeckt, bei der Command-and-Control-Daten in Steam-Community-Kommentaren versteckt werden, um fast 2.000 WordPress-Sites zu kompromittieren. Die Unsichtbarkeit dieser Methode, die mit speziellen Unicode-Zeichen arbeitet, erschwert die Entdeckung erheblich.
ClickFix im Vergleich: Warum traditionelle Abwehr versagt
ClickFix ist in mehrfacher Hinsicht fundamental anders als klassische Malware-Kampagnen. Abdullah Hamdan, Sicherheitsanalyst und Autor einer viel zitierten Analyse zum Thema, beschreibt ClickFix als “das effektivste Angriffs-Delivery-Mechanismus, das 2026 aktiv ist, genau weil es keine Schadsoftware liefern muss. Es muss nur Anweisungen liefern.” Der folgende Vergleich zeigt, warum herkömmliche Sicherheitsmaßnahmen häufig scheitern:
| Merkmal | Traditionelles Phishing | ClickFix-Angriff |
|---|---|---|
| Angriffsvektor | E-Mail mit schädlichem Link oder Anhang | Legitime, kompromittierte Website |
| Nutzerinteraktion | Klick auf Link, Anhang öffnen | Befehl selbst in Shell einfügen und ausführen |
| E-Mail-Filter-Umgehung | Nein (E-Mail wird gefiltert) | Ja (kein E-Mail-Vektor) |
| Antivirus-Erkennung | Teilweise (Anhang wird gescannt) | Gering (legitime Tools wie PowerShell missbraucht) |
| Erkennungsrate durch EDR | 60-80 % (schätzungsweise) | Deutlich geringer (living-off-the-land) |
| Vertrauensfaktor beim Opfer | Niedrig (Phishing-Erkennung trainiert) | Hoch (legitime Website + bekannte Cloudflare-Optik) |
| Nation-State-Nutzung bestätigt | Häufig | APT28, Kimsuky, MuddyWater bestätigt |
| Anteil initiale Kompromittierungen 2025 | 35 % (Microsoft) | 47 % (Microsoft) |
| Wachstum H1 2025 | Rückläufig | +517 % (ESET) |
ClickFix-Varianten: Von CrashFix bis HookedWing
ClickFix ist keine statische Technik, sondern ein sich schnell entwickelndes Ökosystem. Laut einer Analyse von Cyberdesserts (April 2026) ist seit Jahresbeginn 2026 etwa eine neue benannte Variante pro Monat in öffentlichen Berichten aufgetaucht. Insgesamt wurden bereits sieben benannte Varianten dokumentiert. Die Technik verbreitet sich durch mindestens neun verschiedene Vektoren.
CrashFix ist die bemerkenswerteste neue Variante. Huntress-Forscher haben sie im Januar 2026 dokumentiert: Nutzer sehen eine gefälschte Sicherheitswarnung, die behauptet, ihr Browser sei “abnormal abgestürzt”. Um das Problem zu beheben, werden sie aufgefordert, eine Remediation-Anleitung zu befolgen, die in Wirklichkeit zur Installation einer schädlichen Chrome-Erweiterung führt. Einmal installiert, führt die Erweiterung einen schädlichen PowerShell-Befehl aus.
HookedWing, in CM Alliances Bericht über die größten Angriffe des Mais 2026 dokumentiert, imitiert Google-, Microsoft- und GitHub-Anmeldeseiten, um aktive Sitzungstoken zu stehlen. Diese Methode des Browser-Session-Hijackings ist besonders gefährlich, weil keine Passwörter gestohlen werden müssen: Ein aktiver Sitzungstoken reicht aus, um vollständigen Zugang zu einem Account zu erlangen.
SentinelOne warnt in seinen Cybersecurity Trends 2026, dass “beginnend mit 2026 die Bereiche KI-Sicherheit und API-Sicherheit verschmelzen, weil Angreifer KI-Agenten einsetzen, um APIs mit Maschinengeschwindigkeit auf Schwachstellen abzuklopfen”. ClickFix ist das Social-Engineering-Pendant: Menschliche Schwachstellen werden mit industrieller Skalierung ausgenutzt.
Behördliche Reaktionen: ACSC, CISA und die europäische Dimension
Die Behörden reagieren auf die ClickFix-Bedrohung mit wachsender Intensität. Am 7. Mai 2026 veröffentlichte das Australian Cyber Security Centre (ACSC) ein offizielles Advisory, das explizit vor der ClickFix-Kampagne mit Vidar Stealer warnte. Das Advisory enthält technische Indikatoren, Empfehlungen zur Schadensbegrenzung sowie spezifische Erkennungsregeln für Security-Teams.
Am 27. Mai 2026 ordnete die US-amerikanische CISA an, dass Bundesbehörden eine aktiv ausgenutzte Sicherheitslücke im cPanel-Plugin (CVE-2026-26831) binnen vier Tagen zu patchen hätten. Angreifer hatten diese Lücke genutzt, um Serverzugang für ClickFix-Infrastruktur zu erlangen und weitere Kompromittierungen vorzubereiten.
Für europäische Unternehmen und Behörden gibt es bisher kein vergleichbares offizielles Advisory auf EU-Ebene. Die ENISA hat ClickFix in ihren Threat-Landscape-Berichten erwähnt, aber noch keine gesonderte Warnung herausgegeben. Sicherheitsexperten erwarten, dass dies nach einer weiteren Eskalation der Kampagne folgen wird.
Der Cyber Resilience Act 2026 enthält keine direkten Vorschriften für Website-Betreiber, die als unfreiwillige ClickFix-Verteilungsplattformen missbraucht werden. Rechtsexperten diskutieren bereits, ob kompromittierte Website-Betreiber unter DSGVO-Gesichtspunkten (Art. 32) haftbar gemacht werden können, wenn ihre unzureichend gesicherten Seiten zur Infizierung von Besuchern genutzt werden.
Schutzmaßnahmen: Was Unternehmen und Website-Betreiber jetzt tun müssen
Das ACSC, Rapid7 und Trend Micro empfehlen ein mehrschichtiges Vorgehen. Die folgende Tabelle fasst die wichtigsten Maßnahmen für verschiedene Zielgruppen zusammen:
| Maßnahme | Zielgruppe | Priorität | Beschreibung |
|---|---|---|---|
| PowerShell-Ausführung einschränken | Unternehmen | Kritisch | Ausführungsrichtlinien auf “RemoteSigned” oder “AllSigned” setzen; nicht-administrative Nutzer von PowerShell ausschließen |
| Application Control (AppLocker/WDAC) | Unternehmen | Hoch | Nur autorisierte Anwendungen und Skripte dürfen ausgeführt werden; finger.exe und andere LOLBins sperren |
| WordPress-Plugins aktuell halten | Website-Betreiber | Kritisch | Automatische Updates aktivieren; ungenutzte Plugins deinstallieren; Patchstack oder ähnliche Dienste für Schwachstellenbenachrichtigung nutzen |
| Admin-Passwörter und 2FA | Website-Betreiber | Hoch | Starke, einzigartige Passwörter für WordPress-Admin; 2FA für alle Administratorkonten verpflichtend aktivieren |
| WAF (Web Application Firewall) | Website-Betreiber | Hoch | WordPress-spezifische WAF-Regeln aktivieren; schädliche IP-Adressen automatisch blockieren |
| Nutzer-Schulungen zu ClickFix | Alle | Hoch | Mitarbeiter explizit auf ClickFix-Muster trainieren: Kein CAPTCHA fordert je PowerShell-Befehle |
| Endpoint Detection and Response (EDR) | Unternehmen | Mittel | Verhaltensbasierte EDR erkennt verdächtige PowerShell-Aktivitäten und LotL-Muster |
| Browser-Erweiterungen prüfen | Alle | Mittel | Regelmäßige Überprüfung installierter Browser-Erweiterungen; unbekannte Erweiterungen sofort entfernen |
| Session-Timeout und regelmäßiges Abmelden | Unternehmen | Mittel | Kurze Session-Timeouts begrenzen das Risiko durch gestohlene Session-Cookies |
Ein wichtiger Grundsatz, den das ACSC betont: Kein legitimes CAPTCHA, kein Cloudflare-Dienst und keine echte Sicherheitsüberprüfung wird jemals einen Benutzer auffordern, einen Befehl in die Windows-Befehlszeile einzufügen. Diese einfache Regel kann als universeller Filter gegen ClickFix-Angriffe dienen und sollte in jedes Security-Awareness-Training aufgenommen werden.
Prognosen: Wie sich ClickFix bis Ende 2026 entwickeln wird
Auf Basis der aktuellen Datenlage und Experteneinschätzungen lassen sich fünf Entwicklungsszenarien für den Rest des Jahres 2026 ableiten:
- Weitere Variantenexplosion: Das Tempo von etwa einer neuen ClickFix-Variante pro Monat wird sich voraussichtlich beschleunigen, weil die Grundtechnik leicht anpassbar ist und niedrige Einstiegsbarrieren für neue Akteure bietet. Recorded Future erwartet ClickFix als dominanten Angriffsvektor für ganz 2026.
- KI-gestütztes Targeting: Angreifer werden KI-Tools einsetzen, um gefälschte CAPTCHA-Seiten noch überzeugender zu gestalten, zum Beispiel durch kontextsensitive Ansprache basierend auf dem Standort oder der Organisation des Opfers.
- Europäische Behördenwarnungen: Nach dem australischen und US-amerikanischen Vorbild ist bis Ende 2026 mit offiziellen ClickFix-Warnungen europäischer Behörden (ENISA, BSI, österreichisches CERT) zu rechnen, sobald die Kampagne europäische Kritische Infrastruktur trifft.
- Ransomware-Integration: Die Verbindung zwischen ClickFix als Initial-Access-Vector und Ransomware-Deployments wird enger. Erste Kampagnen, die ClickFix direkt für Ransomware-Lieferung nutzen, wurden bereits beobachtet, wie der DragonForce-Angriff auf M&S zeigt.
- macOS-Ausweitung: Atomic Stealer für macOS wird bereits über ClickFix verbreitet. Für die zweite Jahreshälfte 2026 erwarten Analysten eine deutlich stärkere Ausweitung auf macOS-Ziele, weil die Plattform in Unternehmensumgebungen weit verbreitet ist und als sicher gilt.
Verwandte Berichte
Weiterführende Artikel auf shattered.io
- DragonForce: £300 Mio. M&S-Angriff erschüttert Handel [2026]
- Oracle-Datenleck: Cl0p trifft über 100 Firmen [2026]
- Akira Ransomware: 244 Mio. $, DACH im Visier [2026]
- WM 2026 Betrug: 19.000 Fake-Domains, FBI warnt [2026]
- Cyber Resilience Act: 15 Mio. € Strafe ab 2026
- Alle Cybersecurity-Analysen auf shattered.io
FAQ: ClickFix, WordPress-Sicherheit und Vidar Stealer
Was ist ein ClickFix-Angriff?
ClickFix ist eine Social-Engineering-Technik, bei der Benutzer durch eine gefälschte Verifizierungsseite (meist ein gefälschtes Cloudflare-CAPTCHA) dazu gebracht werden, einen PowerShell-Befehl in ihr Windows-System einzufügen und auszuführen. Dieser Befehl lädt dann Schadsoftware herunter und installiert sie. Die Technik macht laut Microsoft 47 Prozent aller initialen Kompromittierungen aus (Stand: 2025).
Wie erkenne ich eine ClickFix-Angriffs-Seite?
Kein legitimes CAPTCHA, kein Sicherheitsdienst und keine echte Verifizierung fordert Sie jemals auf, einen Befehl in die Windows-Eingabeaufforderung, PowerShell oder den Ausführen-Dialog (Win+R) einzufügen. Sobald eine Webseite das verlangt, handelt es sich mit großer Sicherheit um einen ClickFix-Angriff. Auch Aufforderungen zur Installation einer Browser-Erweiterung als “Sicherheitsreparatur” sind typische ClickFix-Indikatoren.
Welche Daten stiehlt Vidar Stealer?
Vidar Stealer exfiltriert Browser-Passwörter, gespeicherte Kreditkartendaten, Browser-Cookies und aktive Sitzungstoken, Krypto-Wallet-Dateien und Seed-Phrasen, Systeminformationen sowie Screenshots. Die gestohlenen Daten werden für direkten Betrug oder den Verkauf auf Darknet-Märkten genutzt. Besonders kritisch: Gestohlene Sitzungstoken ermöglichen Angreifern Zugang zu Accounts, ohne Passwort oder 2FA eingeben zu müssen.
Wie viele WordPress-Sites sind von der aktuellen Kampagne betroffen?
Rapid7 hat im März 2026 dokumentiert, dass über 250 legitime WordPress-Sites kompromittiert wurden. Die tatsächliche Zahl dürfte deutlich höher liegen, da nicht alle Infektionen entdeckt werden. Eine parallele Kampagne mit Steam-Profilen hat laut GoDaddy-Forschern fast 2.000 weitere WordPress-Sites kompromittiert. Die Hauptkampagne läuft seit Dezember 2025 und hat Seiten in mindestens 12 Ländern betroffen, darunter Deutschland und die Schweiz.
Bin ich als WordPress-Betreiber haftbar, wenn meine Site für ClickFix missbraucht wird?
Die rechtliche Lage ist noch nicht abschließend geklärt. Unter DSGVO-Gesichtspunkten könnten Website-Betreiber, die ihrer Pflicht zur technischen Sicherheit (Art. 32 DSGVO) nicht nachgekommen sind, bei Schadensfällen haftbar sein. Regelmäßige Plugin-Aktualisierung, starke Passwörter und 2FA für Admin-Konten sind nicht nur bewährte Praxis, sondern in vielen Fällen auch rechtlich geboten.
Schützt Zwei-Faktor-Authentifizierung gegen ClickFix?
Teilweise. 2FA schützt das eigene Konto gegen Passwort-Diebstahl. Allerdings stiehlt Vidar Stealer auch aktive Sitzungstoken (Session Cookies). Mit diesen kann ein Angreifer eine bestehende authentifizierte Sitzung übernehmen, ohne Passwort oder 2FA zu benötigen. Regelmäßiges Abmelden aus wichtigen Accounts und kurze Session-Timeouts begrenzen dieses Risiko erheblich.
Welche Sicherheitslösungen erkennen ClickFix-Angriffe zuverlässig?
Verhaltensbasierte Endpoint Detection and Response (EDR)-Lösungen bieten den besten Schutz, weil sie verdächtige PowerShell-Aktivitäten und “living-off-the-land”-Muster erkennen können. Reine signaturbasierte Antivirenprogramme sind weitgehend wirkungslos, weil ClickFix keine klassische Malware-Datei direkt platziert. Application-Control-Lösungen (AppLocker, Windows Defender Application Control) bieten starken Schutz durch Whitelisting erlaubter Anwendungen und Skripte.
Welche Branchen sind besonders betroffen?
Das ACSC hat im Mai 2026 gewarnt, dass “Organisationen aller Sektoren” betroffen sind. Besonders im Visier stehen Unternehmen, die Teil einer Unternehmensdomäne sind (KongTuke wählt gezielt diese aus), Medienunternehmen und Nachrichtenportale mit hohem Traffic, sowie politische Institutionen (eine kompromittierte Site gehörte einem US-Senats-Kandidaten). Für Österreich sind vor allem KMU und öffentliche Institutionen mit WordPress-Websites gefährdet.
Quellen: Infosecurity Magazine, März 2026 | Trend Micro KongTuke-Analyse, März 2026 | Cyberdesserts ClickFix-Studie, April 2026 | SentinelOne Cybersecurity Trends 2026 | Patchstack State of WordPress Security 2026
