Neu ist vor allem die Art, wie die Payloads bereitgestellt werden. Pals beobachtete, dass die ClickFix-Seiten ihre Befehle von Servern beziehen, die wie ein Abrufdienst arbeiten: Sie nehmen Anfragen entgegen, prüfen ein Zugriffstoken, protokollieren den Aufrufer und liefern bei jedem Abruf einen neu verschleierten Befehl zurück.
Ein Test zeigt, wie weit diese Variabilität reicht. Pals forderte von einem Server 100 Payloads an und erhielt 100 unterschiedliche Varianten. Die Verpackung wechselte zwischen Base64, AES, TripleDES, Rijndael und Deflate. Entfernt man diese Verschleierung, entpackten sich die beobachteten Varianten bislang alle zu demselben Skript, das im Speicher über einen PowerShell-Runspace ausgeführt wird. Pals warnt allerdings, dass sich der eigentliche Kern der Malware voraussichtlich ebenfalls bald von Opfer zu Opfer unterscheiden dürfte.
Die Plattformen sind dabei nicht auf ein einziges Zielsystem beschränkt. Nach den Beobachtungen von Pals liefern sie Köder in 25 Sprachen aus und passen die Befehle an das Betriebssystem des Besuchers an; neben Windows-Versionen existieren auch Varianten für macOS.
Dass ClickFix inzwischen als Dienstleistungsmodell funktioniert, ist laut der Untersuchung mehr als ein Schlagwort. ESET hatte bereits nachverfolgt, dass Kriminelle fertige ClickFix-Baukästen an andere Angreifer verkaufen. Pals beschreibt nun eine weitere Kommerzialisierungsebene tiefer im Ablauf: die individuelle Erzeugung jedes Payloads auf Anfrage.
Eine zweite Beobachtung zielt direkt auf Abwehrmechanismen, die die Zwischenablage überwachen. Neuere Seiten kopieren nicht mehr den eigentlichen schädlichen Befehl, sondern nur einen harmlos wirkenden Orchestrierungsaufruf. Die Seite lädt unbemerkt eine Datei in den Downloads-Ordner herunter; die eingefügte Befehlszeile verschiebt diese Datei, entpackt sie und startet das enthaltene Skript. Nach Angaben von Pals ist das so angelegt, dass es AMSI umgeht, also die Windows-Funktion, mit der Antivirenprodukte Skripte vor der Ausführung prüfen können. Der schädliche Code steckt in der heruntergeladenen Datei, nicht in der eingefügten Zeile selbst.
Auch bei der Ausführung setzt ClickFix zunehmend auf Unauffälligkeit. Der ursprüngliche Köder aus dem Jahr 2024 forderte Nutzer dazu auf, Windows+R zu drücken und den Befehl im Ausführen-Dialog einzufügen. Eine neuere Variante, die laut Pals im Verlauf von 2025 und bis 2026 häufig ist, verweist stattdessen auf Windows+X und das Windows Terminal. Das wirkt alltäglicher und hinterlässt anders als der Ausführen-Dialog keine Spur im RunMRU-Registrierungsschlüssel, den Ermittler üblicherweise prüfen.
ClickFix wird zudem nicht mehr nur von gewöhnlichen Cyberkriminellen eingesetzt. Proofpoint brachte laut Quelltext staatlich unterstützte Gruppen aus Russland, Iran und Nordkorea, darunter APT28, MuddyWater und Kimsuky, mit Kampagnen in Verbindung, die ClickFix in bestehende Infektionsketten einbauten. Nordkoreanische Gruppen entwickelten demnach außerdem eine gefälschte Job-Variante namens „ClickFake Interview“, die auf Beschäftigte im Kryptowährungssektor zielte.
Die Methode hat bereits weitere Varianten wie FileFix und DownloadFix hervorgebracht, die andere vertrauenswürdige Windows-Werkzeuge missbrauchen. Dass es nicht um ein Randphänomen geht, unterstreicht zudem Expel: Das Sicherheitsunternehmen schrieb einer ClearFake-Welle seit Ende August 2025 wahrscheinlich bis zu 147.521 Infektionen zu.
Für die Erkennung hält Pals Prozessketten für belastbarer als den Blick auf den Inhalt der Zwischenablage. Besonders relevant seien Fälle, in denen explorer.exe oder WindowsTerminal.exe anschließend powershell.exe, cmd.exe oder msiexec.exe starten und kurz danach Netzwerkverbindungen aufbauen. In den von Pals ausgewerteten Daten lagen PowerShell und cmd bei jeweils rund 39 Prozent der häufigsten Starter, msiexec folgte mit 34 Prozent.
Pals nannte außerdem drei während seiner Untersuchung beobachtete Payload-Server. Eine Verbindung zu einem dieser Server beweise allerdings keine Infektion; sie deute nach seiner Einschätzung in erster Linie darauf hin, dass höchstwahrscheinlich ein Befehl in die Zwischenablage eines Nutzers gelegt wurde. Sein Fazit fällt eindeutig aus: „ClickFix wird bleiben.“
