{"id":129,"date":"2026-06-18T20:19:35","date_gmt":"2026-06-18T20:19:35","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/18\/clickfix-wordpress-vidar-stealer-2026\/"},"modified":"2026-06-18T20:20:58","modified_gmt":"2026-06-18T20:20:58","slug":"clickfix-wordpress-vidar-stealer-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/clickfix-wordpress-vidar-stealer-2026\/","title":{"rendered":"ClickFix-Kampagne: 250 WordPress-Sites gekapert, 12 L\u00e4nder betroffen [2026]"},"content":{"rendered":"\n

Seit Dezember 2025 kompromittieren Cyberkriminelle legitime WordPress-Websites und missbrauchen sie als Waffe gegen ahnungslose Besucher. Mehr als 250 Seiten in 12 L\u00e4ndern sind betroffen, darunter Nachrichtenportale, lokale Unternehmen und sogar die offizielle Website eines US-Senatskandidaten. Die Kampagne setzt auf ClickFix<\/strong>, eine Social-Engineering-Technik, die Opfer dazu bringt, Schadsoftware selbst auf ihren Rechnern auszuf\u00fchren. Das Ergebnis: Vidar Stealer, Lumma Stealer und andere Infostealer pl\u00fcndern Passw\u00f6rter, Browserdaten und Krypto-Wallets.<\/p>\n\n\n\n

Was ist ClickFix und warum ist es so gef\u00e4hrlich?<\/h2>\n\n\n\n

ClickFix ist keine neue Schadsoftware im klassischen Sinne. Es ist eine Angriffstechnik, die seit Anfang 2024 beobachtet wird und auf menschliches Vertrauen setzt statt auf technische Exploits. Laut Microsoft Digital Defense Report 2025<\/strong> macht ClickFix mittlerweile 47 Prozent aller beobachteten initialen Kompromittierungen<\/strong> aus und \u00fcberholt damit traditionelles Phishing, das nur noch 35 Prozent ausmacht.<\/p>\n\n\n\n

Das Funktionsprinzip ist erschreckend simpel: Ein Besucher \u00f6ffnet eine kompromittierte Website. Statt des erwarteten Inhalts erscheint eine t\u00e4uschend echte Cloudflare-CAPTCHA-Seite. Diese fordert den Nutzer auf, das Windows-Ausf\u00fchren-Dialogfenster zu \u00f6ffnen (Win+R), einen Befehl aus der Zwischenablage einzuf\u00fcgen und zu best\u00e4tigen. Wer gehorcht, startet damit einen mehrstufigen Infektionsprozess, der Schadsoftware herunterl\u00e4dt und ausf\u00fchrt.<\/p>\n\n\n\n

Der entscheidende Vorteil f\u00fcr Angreifer: Da das Opfer den Schadbefehl selbst ausf\u00fchrt, umgehen viele Sicherheitsl\u00f6sungen die Infektion. Das Australian Signals Directorate’s Australian Cyber Security Centre (ACSC)<\/strong> warnt in einem Advisory vom Mai 2026 explizit, dass diese nutzergesteuerte Ausf\u00fchrung “einige pr\u00e4ventive Sicherheitskontrollen umgeht und die Wahrscheinlichkeit einer erfolgreichen Kompromittierung erh\u00f6ht”.<\/p>\n\n\n\n

ESET hat das Wachstum der ClickFix-Aktivit\u00e4ten in der ersten Jahresh\u00e4lfte 2025 gemessen: 517 Prozent Anstieg<\/strong> gegen\u00fcber dem Vorjahreszeitraum. Das Center for Internet Security (CIS) hat ClickFix im gleichen Zeitraum als Ursache f\u00fcr mehr als ein Drittel aller Non-Malware-Albert-Alerts<\/strong> gegen US-amerikanische Beh\u00f6rden und staatliche Institutionen identifiziert.<\/p>\n\n\n\n

Die technische Angriffskette im Detail<\/h2>\n\n\n\n

Die Infrastruktur hinter der aktuellen WordPress-Kampagne ist mehrschichtig aufgebaut. Sicherheitsforscher von Rapid7<\/strong> haben die Angriffskette vollst\u00e4ndig dokumentiert und im M\u00e4rz 2026 ver\u00f6ffentlicht. Die Kampagne ist seit Dezember 2025 aktiv.<\/p>\n\n\n\n

Phase 1: Kompromittierung legitimer WordPress-Sites<\/h3>\n\n\n\n

Angreifer stehlen zun\u00e4chst Anmeldedaten von WordPress-Administratoren, oft durch Credential-Stuffing-Angriffe oder durch gestohlene Daten aus fr\u00fcheren Datenlecks. Anschlie\u00dfend installieren sie gef\u00e4lschte Plugins oder injizieren sch\u00e4dlichen JavaScript-Code direkt in legitime Websites. Trend Micros Analyse der KongTuke-Gruppe zeigt, dass der injizierte JavaScript-Code von einem externen API-Server nachgeladen wird, was die direkte Erkennung im Quellcode der Website erheblich erschwert.<\/p>\n\n\n\n

Phase 2: Die gef\u00e4lschte CAPTCHA-Falle<\/h3>\n\n\n\n

Sobald ein Besucher die infizierte Seite aufruft, l\u00e4dt das eingeschleuste JavaScript eine t\u00e4uschend echte Cloudflare-Verifizierungsseite. Diese nutzt das etablierte Vertrauen in Cloudflare-CAPTCHAs gezielt aus. Die Seite instruiert den Nutzer, folgende Schritte auszuf\u00fchren: Windows-Ausf\u00fchren-Dialog \u00f6ffnen (Win+R), den vorgefertigten Befehl aus der Zwischenablage einf\u00fcgen und mit Enter best\u00e4tigen. Das Ergebnis ist ein PowerShell-Skript, das direkt auf dem Zielsystem ausgef\u00fchrt wird.<\/p>\n\n\n\n

Bei der KongTuke-Variante (Trend Micro) nutzt das Skript ausschlie\u00dflich legitime Systemtools wie finger.exe<\/strong>, Dropbox-gehostete Dateien und portable Python-Umgebungen, um unter dem Radar zu bleiben. Diese Technik, bei der legitime Betriebssystemwerkzeuge f\u00fcr sch\u00e4dliche Zwecke eingesetzt werden, bezeichnet die Branche als “living off the land” (LotL).<\/p>\n\n\n\n

Phase 3: Payload-Lieferung und Datendiebstahl<\/h3>\n\n\n\n

Je nach Kampagne wird eine von mehreren Infostealer-Varianten ausgeliefert. Rapid7 hat in der aktuellen WordPress-Kampagne folgende Payloads beobachtet: Vidar Stealer (Stiehlt Passw\u00f6rter, Browserdaten, Krypto-Wallets und Systeminformationen), Impure Stealer (Fokus auf Browser-Credentials und gespeicherte Karten), Vodka Stealer (Spezialisiert auf Krypto-Wallet-Daten) sowie Double Donut, das h\u00e4ufig als Loader f\u00fcr weitere Payloads genutzt wird. Alle diese Payloads haben dasselbe Ziel: Zugangsdaten und Finanzinformationen des Opfers zu stehlen.<\/p>\n\n\n\n

Die KongTuke-Gruppe: T\u00e4ter im Profil<\/h2>\n\n\n\n

Trend Micro<\/strong> hat die Kampagne einer Bedrohungsgruppe namens KongTuke<\/strong> zugeordnet. Diese Gruppe ist f\u00fcr ihren Einsatz von ClickFix durch kompromittierte WordPress-Sites bekannt und betreibt diese Methode parallel zur neueren “CrashFix”-Variante, die Huntress-Forscher im Januar 2026 erstmals dokumentiert haben.<\/p>\n\n\n\n

Besonders beunruhigend: KongTukes Malware, bekannt als modeloRAT<\/strong>, pr\u00fcft vor der weiteren Infektion aktiv, ob das Zielsystem Teil einer Unternehmensdom\u00e4ne ist und welche Sicherheitstools installiert sind. Das deutet auf eine gezielte Ausrichtung auf Unternehmensumgebungen<\/strong> statt auf opportunistische Infektionen hin. Heimanwender ohne Unternehmensdom\u00e4ne werden gezielt \u00fcbersprungen, um die Entdeckungswahrscheinlichkeit zu minimieren.<\/p>\n\n\n\n

Trend Micros MDR-Team best\u00e4tigt in seiner M\u00e4rz-2026-Analyse: “Die Malware pr\u00fcft spezifisch, ob ein System Teil einer Unternehmensdom\u00e4ne ist und welche Sicherheitstools installiert sind, bevor sie fortf\u00e4hrt. Das deutet auf einen Fokus auf Unternehmensumgebungen hin, nicht auf opportunistische Infektionen.”<\/p>\n\n\n\n

Recorded Futures Insikt Group sch\u00e4tzt in einer Analyse vom M\u00e4rz 2026, dass ClickFix “mit hoher Wahrscheinlichkeit der dominante initiale Zugriffsvektor durch das gesamte Jahr 2026 bleiben wird”. Aktuell nutzen nicht nur kriminelle Gruppen die Technik: Staatliche Akteure wie Kimsuky<\/strong> (Nordkorea), MuddyWater<\/strong> (Iran) und APT28<\/strong> (Russland) haben ClickFix ebenfalls in ihr Repertoire aufgenommen, was die Bandbreite der Bedrohungsakteure besonders besorgniserregend macht.<\/p>\n\n\n\n

Vidar Stealer: Die Hauptwaffe gegen Browserdaten<\/h2>\n\n\n\n

Vidar Stealer ist ein seit 2018 bekanntes, gut dokumentiertes Infostealer-Programm, das prim\u00e4r Windows-Systeme angreift. In der aktuellen ClickFix-Kampagne ist es die am h\u00e4ufigsten beobachtete Payload und Gegenstand des australischen ACSC-Advisories vom Mai 2026.<\/p>\n\n\n\n

Das ACSC beschreibt Vidar Stealer als “Malware zum Diebstahl von Informationen, die Zugangsdaten, Browserdaten, Kryptow\u00e4hrungs-Wallets und Systeminformationen exfiltrieren kann, welche anschlie\u00dfend f\u00fcr weitergehende b\u00f6sartige Aktivit\u00e4ten genutzt werden k\u00f6nnen”. Im Einzelnen umfasst das: gespeicherte Browser-Passw\u00f6rter und Cookies aus Chrome, Firefox, Edge und weiteren Browsern, Krypto-Wallet-Dateien und Seed-Phrasen von Bitcoin, Ethereum und anderen Coins, vollst\u00e4ndige Systeminformationen zu Betriebssystem und Netzwerkkonfiguration sowie konfigurierbare Dateitypen und Screenshots.<\/p>\n\n\n\n

Die gestohlenen Daten werden an Command-and-Control-Server der Angreifer \u00fcbertragen und anschlie\u00dfend entweder direkt f\u00fcr Finanzbetrug genutzt oder auf Underground-Foren verkauft. Ein vollst\u00e4ndiger Browser-Datensatz mit aktiven Sitzungstoken kann auf diesen M\u00e4rkten mehrere Hundert Euro erzielen und erm\u00f6glicht es K\u00e4ufern, ohne Passwort direkt auf Unternehmenskonten zuzugreifen. Besonders gef\u00e4hrlich: Aktive Session-Cookies umgehen auch Zwei-Faktor-Authentifizierung, weil die Sitzung bereits als authentifiziert gilt.<\/p>\n\n\n\n

Das Stealer-\u00d6kosystem: Lumma, Vidar und weitere Payloads im Vergleich<\/h2>\n\n\n\n

ClickFix ist kein Einzel-Payload-System. Die Technik dient als universeller Verteilungsmechanismus f\u00fcr verschiedene Infostealer. Laut Microsoft ist Lumma Stealer der h\u00e4ufigste Payload mit 51 Prozent der Infektionen<\/strong>. Die folgende Tabelle zeigt die wichtigsten Infostealer, die \u00fcber ClickFix verbreitet werden:<\/p>\n\n\n\n

Infostealer<\/th>Anteil ClickFix-Infektionen<\/th>Prim\u00e4res Ziel<\/th>Erstmals beobachtet<\/th>Verbreitungsmodell<\/th><\/tr><\/thead>
Lumma Stealer<\/td>51 % (Microsoft 2025)<\/td>Browser, Krypto, FTP<\/td>2022<\/td>Malware-as-a-Service ab 250 USD\/Monat<\/td><\/tr>
Vidar Stealer<\/td>Hoch (ACSC Advisory Mai 2026)<\/td>Browser, Krypto-Wallets<\/td>2018<\/td>Einzelkauf ab ca. 130 USD<\/td><\/tr>
AsyncRAT<\/td>H\u00e4ufig beobachtet<\/td>Remote-Zugriff, Keylogging<\/td>2019<\/td>Open Source, Kits ab 50 USD<\/td><\/tr>
DarkGate<\/td>H\u00e4ufig beobachtet<\/td>Browser, VPN, Krypto<\/td>2017<\/td>Exklusiv-MaaS ab 5.000 USD\/Monat<\/td><\/tr>
Impure Stealer<\/td>Beobachtet (Rapid7, 2026)<\/td>Browser-Credentials<\/td>2025<\/td>Nicht \u00f6ffentlich bekannt<\/td><\/tr>
Vodka Stealer<\/td>Beobachtet (Rapid7, 2026)<\/td>Krypto-Wallets<\/td>2025<\/td>Nicht \u00f6ffentlich bekannt<\/td><\/tr>
Atomic Stealer<\/td>Beobachtet (macOS)<\/td>macOS-Systeme, Krypto<\/td>2023<\/td>MaaS ca. 1.000 USD\/Monat<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Betroffene L\u00e4nder: Europa im Fadenkreuz<\/h2>\n\n\n\n

Rapid7 hat in seiner Analyse der WordPress-ClickFix-Kampagne Betroffene in mindestens 12 L\u00e4ndern<\/strong> identifiziert. F\u00fcr den deutschsprachigen Raum besonders relevant: Unter den explizit genannten betroffenen L\u00e4ndern befinden sich Deutschland, die Tschechische Republik und die Schweiz<\/strong>. Die vollst\u00e4ndige Liste umfasst Australien, Brasilien, Kanada, Tschechien, Deutschland, Indien, Israel, Singapur, die Slowakei, die Schweiz, das Vereinigte K\u00f6nigreich und die USA.<\/p>\n\n\n\n

\u00d6sterreich ist in den bisher ver\u00f6ffentlichten Berichten nicht explizit genannt, liegt jedoch geographisch und sprachlich mitten im Risikogebiet. Die Kampagne trifft keine Auswahl nach Sprache oder Standort, sondern nach der Erreichbarkeit und dem Traffic von kompromittierten Websites. Da viele \u00f6sterreichische KMU WordPress-Websites betreiben und als Angriffsvektoren oder Opfer in Frage kommen, ist das Risiko f\u00fcr \u00d6sterreich als hoch einzusch\u00e4tzen.<\/p>\n\n\n\n

Das australische ACSC hat im Mai 2026 offiziell gewarnt, weil auch australische Unternehmen und Beh\u00f6rden sektor\u00fcbergreifend<\/strong> gezielt angegriffen werden. Dieser beh\u00f6rdliche Schritt signalisiert, dass die Kampagne eine Gr\u00f6\u00dfenordnung und Schwere erreicht hat, die offizielle Reaktionen erfordert. F\u00fcr \u00f6sterreichische Unternehmen ist es sinnvoll, schon jetzt zu handeln, bevor eine vergleichbare Warnung vom \u00f6sterreichischen CERT kommt.<\/p>\n\n\n\n

WordPress als bevorzugtes Angriffsziel: Die Zahlen sprechen f\u00fcr sich<\/h2>\n\n\n\n

WordPress betreibt laut Branchendaten \u00fcber 40 Prozent aller Websites weltweit. F\u00fcr Angreifer ist die Plattform aus mehreren Gr\u00fcnden attraktiv. Patchstack<\/strong> hat im State of WordPress Security Report 2026 die aktuelle Bedrohungslage dokumentiert.<\/p>\n\n\n\n

Im Jahr 2025 wurden im WordPress-\u00d6kosystem \u00fcber 11.000 neue Schwachstellen entdeckt<\/strong>, ein Anstieg von 42 Prozent gegen\u00fcber 2024. Mehr als 90 Prozent aller erfolgreichen Angriffe auf WordPress-Sites gehen auf Plugin- und Theme-Schwachstellen<\/strong> zur\u00fcck, nicht auf Sicherheitsl\u00fccken im WordPress-Kern selbst. Die mediane Zeit zwischen der Ver\u00f6ffentlichung einer Schwachstelle und deren massenhafter Ausnutzung betr\u00e4gt laut hidemywpghost.com nur noch 5 Stunden<\/strong>. Erschwerend kommt hinzu, dass 87,8 Prozent der Exploits<\/strong> standardm\u00e4\u00dfige Hosting-Sicherheitsma\u00dfnahmen umgehen.<\/p>\n\n\n\n

F\u00fcr die ClickFix-Kampagne bedeutet das: Die Angreifer haben eine gigantische Angriffsfl\u00e4che. Schlecht gewartete WordPress-Sites mit veralteten Plugins sind ideale Sprungbretter f\u00fcr die Infektion von Besuchern. Sobald ein Angreifer Admin-Zugang zu einer legitimen, gut besuchten Website hat, kann er innerhalb von Minuten die ClickFix-Infrastruktur injizieren.<\/p>\n\n\n\n

Ein weiterer Faktor: GoDaddy-Forscher haben im Juni 2026 eine parallele Kampagne entdeckt, bei der Command-and-Control-Daten in Steam-Community-Kommentaren<\/strong> versteckt werden, um fast 2.000 WordPress-Sites zu kompromittieren. Die Unsichtbarkeit dieser Methode, die mit speziellen Unicode-Zeichen arbeitet, erschwert die Entdeckung erheblich.<\/p>\n\n\n\n

ClickFix im Vergleich: Warum traditionelle Abwehr versagt<\/h2>\n\n\n\n

ClickFix ist in mehrfacher Hinsicht fundamental anders als klassische Malware-Kampagnen. Abdullah Hamdan, Sicherheitsanalyst und Autor einer viel zitierten Analyse zum Thema, beschreibt ClickFix als “das effektivste Angriffs-Delivery-Mechanismus, das 2026 aktiv ist, genau weil es keine Schadsoftware liefern muss. Es muss nur Anweisungen liefern.” Der folgende Vergleich zeigt, warum herk\u00f6mmliche Sicherheitsma\u00dfnahmen h\u00e4ufig scheitern:<\/p>\n\n\n\n

Merkmal<\/th>Traditionelles Phishing<\/th>ClickFix-Angriff<\/th><\/tr><\/thead>
Angriffsvektor<\/td>E-Mail mit sch\u00e4dlichem Link oder Anhang<\/td>Legitime, kompromittierte Website<\/td><\/tr>
Nutzerinteraktion<\/td>Klick auf Link, Anhang \u00f6ffnen<\/td>Befehl selbst in Shell einf\u00fcgen und ausf\u00fchren<\/td><\/tr>
E-Mail-Filter-Umgehung<\/td>Nein (E-Mail wird gefiltert)<\/td>Ja (kein E-Mail-Vektor)<\/td><\/tr>
Antivirus-Erkennung<\/td>Teilweise (Anhang wird gescannt)<\/td>Gering (legitime Tools wie PowerShell missbraucht)<\/td><\/tr>
Erkennungsrate durch EDR<\/td>60-80 % (sch\u00e4tzungsweise)<\/td>Deutlich geringer (living-off-the-land)<\/td><\/tr>
Vertrauensfaktor beim Opfer<\/td>Niedrig (Phishing-Erkennung trainiert)<\/td>Hoch (legitime Website + bekannte Cloudflare-Optik)<\/td><\/tr>
Nation-State-Nutzung best\u00e4tigt<\/td>H\u00e4ufig<\/td>APT28, Kimsuky, MuddyWater best\u00e4tigt<\/td><\/tr>
Anteil initiale Kompromittierungen 2025<\/td>35 % (Microsoft)<\/td>47 % (Microsoft)<\/td><\/tr>
Wachstum H1 2025<\/td>R\u00fcckl\u00e4ufig<\/td>+517 % (ESET)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

ClickFix-Varianten: Von CrashFix bis HookedWing<\/h2>\n\n\n\n

ClickFix ist keine statische Technik, sondern ein sich schnell entwickelndes \u00d6kosystem. Laut einer Analyse von Cyberdesserts (April 2026) ist seit Jahresbeginn 2026 etwa eine neue benannte Variante pro Monat<\/strong> in \u00f6ffentlichen Berichten aufgetaucht. Insgesamt wurden bereits sieben benannte Varianten dokumentiert. Die Technik verbreitet sich durch mindestens neun verschiedene Vektoren.<\/p>\n\n\n\n

CrashFix<\/strong> ist die bemerkenswerteste neue Variante. Huntress-Forscher haben sie im Januar 2026 dokumentiert: Nutzer sehen eine gef\u00e4lschte Sicherheitswarnung, die behauptet, ihr Browser sei “abnormal abgest\u00fcrzt”. Um das Problem zu beheben, werden sie aufgefordert, eine Remediation-Anleitung zu befolgen, die in Wirklichkeit zur Installation einer sch\u00e4dlichen Chrome-Erweiterung f\u00fchrt. Einmal installiert, f\u00fchrt die Erweiterung einen sch\u00e4dlichen PowerShell-Befehl aus.<\/p>\n\n\n\n

HookedWing<\/strong>, in CM Alliances Bericht \u00fcber die gr\u00f6\u00dften Angriffe des Mais 2026 dokumentiert, imitiert Google-, Microsoft- und GitHub-Anmeldeseiten, um aktive Sitzungstoken zu stehlen. Diese Methode des Browser-Session-Hijackings ist besonders gef\u00e4hrlich, weil keine Passw\u00f6rter gestohlen werden m\u00fcssen: Ein aktiver Sitzungstoken reicht aus, um vollst\u00e4ndigen Zugang zu einem Account zu erlangen.<\/p>\n\n\n\n

SentinelOne warnt in seinen Cybersecurity Trends 2026, dass “beginnend mit 2026 die Bereiche KI-Sicherheit und API-Sicherheit verschmelzen, weil Angreifer KI-Agenten einsetzen, um APIs mit Maschinengeschwindigkeit auf Schwachstellen abzuklopfen”. ClickFix ist das Social-Engineering-Pendant: Menschliche Schwachstellen werden mit industrieller Skalierung ausgenutzt.<\/p>\n\n\n\n

Beh\u00f6rdliche Reaktionen: ACSC, CISA und die europ\u00e4ische Dimension<\/h2>\n\n\n\n

Die Beh\u00f6rden reagieren auf die ClickFix-Bedrohung mit wachsender Intensit\u00e4t. Am 7. Mai 2026<\/strong> ver\u00f6ffentlichte das Australian Cyber Security Centre (ACSC) ein offizielles Advisory, das explizit vor der ClickFix-Kampagne mit Vidar Stealer warnte. Das Advisory enth\u00e4lt technische Indikatoren, Empfehlungen zur Schadensbegrenzung sowie spezifische Erkennungsregeln f\u00fcr Security-Teams.<\/p>\n\n\n\n

Am 27. Mai 2026<\/strong> ordnete die US-amerikanische CISA an, dass Bundesbeh\u00f6rden eine aktiv ausgenutzte Sicherheitsl\u00fccke im cPanel-Plugin (CVE-2026-26831<\/strong>) binnen vier Tagen zu patchen h\u00e4tten. Angreifer hatten diese L\u00fccke genutzt, um Serverzugang f\u00fcr ClickFix-Infrastruktur zu erlangen und weitere Kompromittierungen vorzubereiten.<\/p>\n\n\n\n

F\u00fcr europ\u00e4ische Unternehmen und Beh\u00f6rden gibt es bisher kein vergleichbares offizielles Advisory auf EU-Ebene. Die ENISA hat ClickFix in ihren Threat-Landscape-Berichten erw\u00e4hnt, aber noch keine gesonderte Warnung herausgegeben. Sicherheitsexperten erwarten, dass dies nach einer weiteren Eskalation der Kampagne folgen wird.<\/p>\n\n\n\n

Der Cyber Resilience Act 2026<\/a> enth\u00e4lt keine direkten Vorschriften f\u00fcr Website-Betreiber, die als unfreiwillige ClickFix-Verteilungsplattformen missbraucht werden. Rechtsexperten diskutieren bereits, ob kompromittierte Website-Betreiber unter DSGVO-Gesichtspunkten (Art. 32) haftbar gemacht werden k\u00f6nnen, wenn ihre unzureichend gesicherten Seiten zur Infizierung von Besuchern genutzt werden.<\/p>\n\n\n\n

Schutzma\u00dfnahmen: Was Unternehmen und Website-Betreiber jetzt tun m\u00fcssen<\/h2>\n\n\n\n

Das ACSC, Rapid7 und Trend Micro empfehlen ein mehrschichtiges Vorgehen. Die folgende Tabelle fasst die wichtigsten Ma\u00dfnahmen f\u00fcr verschiedene Zielgruppen zusammen:<\/p>\n\n\n\n

Ma\u00dfnahme<\/th>Zielgruppe<\/th>Priorit\u00e4t<\/th>Beschreibung<\/th><\/tr><\/thead>
PowerShell-Ausf\u00fchrung einschr\u00e4nken<\/td>Unternehmen<\/td>Kritisch<\/td>Ausf\u00fchrungsrichtlinien auf “RemoteSigned” oder “AllSigned” setzen; nicht-administrative Nutzer von PowerShell ausschlie\u00dfen<\/td><\/tr>
Application Control (AppLocker\/WDAC)<\/td>Unternehmen<\/td>Hoch<\/td>Nur autorisierte Anwendungen und Skripte d\u00fcrfen ausgef\u00fchrt werden; finger.exe und andere LOLBins sperren<\/td><\/tr>
WordPress-Plugins aktuell halten<\/td>Website-Betreiber<\/td>Kritisch<\/td>Automatische Updates aktivieren; ungenutzte Plugins deinstallieren; Patchstack oder \u00e4hnliche Dienste f\u00fcr Schwachstellenbenachrichtigung nutzen<\/td><\/tr>
Admin-Passw\u00f6rter und 2FA<\/td>Website-Betreiber<\/td>Hoch<\/td>Starke, einzigartige Passw\u00f6rter f\u00fcr WordPress-Admin; 2FA f\u00fcr alle Administratorkonten verpflichtend aktivieren<\/td><\/tr>
WAF (Web Application Firewall)<\/td>Website-Betreiber<\/td>Hoch<\/td>WordPress-spezifische WAF-Regeln aktivieren; sch\u00e4dliche IP-Adressen automatisch blockieren<\/td><\/tr>
Nutzer-Schulungen zu ClickFix<\/td>Alle<\/td>Hoch<\/td>Mitarbeiter explizit auf ClickFix-Muster trainieren: Kein CAPTCHA fordert je PowerShell-Befehle<\/td><\/tr>
Endpoint Detection and Response (EDR)<\/td>Unternehmen<\/td>Mittel<\/td>Verhaltensbasierte EDR erkennt verd\u00e4chtige PowerShell-Aktivit\u00e4ten und LotL-Muster<\/td><\/tr>
Browser-Erweiterungen pr\u00fcfen<\/td>Alle<\/td>Mittel<\/td>Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung installierter Browser-Erweiterungen; unbekannte Erweiterungen sofort entfernen<\/td><\/tr>
Session-Timeout und regelm\u00e4\u00dfiges Abmelden<\/td>Unternehmen<\/td>Mittel<\/td>Kurze Session-Timeouts begrenzen das Risiko durch gestohlene Session-Cookies<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ein wichtiger Grundsatz, den das ACSC betont: Kein legitimes CAPTCHA, kein Cloudflare-Dienst und keine echte Sicherheits\u00fcberpr\u00fcfung wird jemals einen Benutzer auffordern, einen Befehl in die Windows-Befehlszeile einzuf\u00fcgen. Diese einfache Regel kann als universeller Filter gegen ClickFix-Angriffe dienen und sollte in jedes Security-Awareness-Training aufgenommen werden.<\/p>\n\n\n\n

Prognosen: Wie sich ClickFix bis Ende 2026 entwickeln wird<\/h2>\n\n\n\n

Auf Basis der aktuellen Datenlage und Experteneinsch\u00e4tzungen lassen sich f\u00fcnf Entwicklungsszenarien f\u00fcr den Rest des Jahres 2026 ableiten:<\/p>\n\n\n\n

  1. Weitere Variantenexplosion:<\/strong> Das Tempo von etwa einer neuen ClickFix-Variante pro Monat wird sich voraussichtlich beschleunigen, weil die Grundtechnik leicht anpassbar ist und niedrige Einstiegsbarrieren f\u00fcr neue Akteure bietet. Recorded Future erwartet ClickFix als dominanten Angriffsvektor f\u00fcr ganz 2026.<\/li>
  2. KI-gest\u00fctztes Targeting:<\/strong> Angreifer werden KI-Tools einsetzen, um gef\u00e4lschte CAPTCHA-Seiten noch \u00fcberzeugender zu gestalten, zum Beispiel durch kontextsensitive Ansprache basierend auf dem Standort oder der Organisation des Opfers.<\/li>
  3. Europ\u00e4ische Beh\u00f6rdenwarnungen:<\/strong> Nach dem australischen und US-amerikanischen Vorbild ist bis Ende 2026 mit offiziellen ClickFix-Warnungen europ\u00e4ischer Beh\u00f6rden (ENISA, BSI, \u00f6sterreichisches CERT) zu rechnen, sobald die Kampagne europ\u00e4ische Kritische Infrastruktur trifft.<\/li>
  4. Ransomware-Integration:<\/strong> Die Verbindung zwischen ClickFix als Initial-Access-Vector und Ransomware-Deployments wird enger. Erste Kampagnen, die ClickFix direkt f\u00fcr Ransomware-Lieferung nutzen, wurden bereits beobachtet, wie der DragonForce-Angriff auf M&S zeigt<\/a>.<\/li>
  5. macOS-Ausweitung:<\/strong> Atomic Stealer f\u00fcr macOS wird bereits \u00fcber ClickFix verbreitet. F\u00fcr die zweite Jahresh\u00e4lfte 2026 erwarten Analysten eine deutlich st\u00e4rkere Ausweitung auf macOS-Ziele, weil die Plattform in Unternehmensumgebungen weit verbreitet ist und als sicher gilt.<\/li><\/ol>\n\n\n\n

    Verwandte Berichte<\/h2>\n\n\n\n

    Weiterf\u00fchrende Artikel auf shattered.io<\/h3>\n\n\n\n