ClickFix tauchte erstmals 2024 auf und gewann seitdem nach Angaben von Reversing Labs schnell an Bedeutung. Der Ansatz ist vergleichsweise simpel: Opfer sehen Pop-up-Fenster mit angeblichen Fehlern, Updates oder Verifizierungen und werden dazu gebracht, einen vom Angreifer vorgegebenen Befehl auf dem eigenen System auszuführen. Erst damit beginnt die eigentliche schädliche Aktivität.
Gerade diese Konstruktion erschwert die Erkennung. In dem Bericht von Reversing Labs heißt es, ClickFix liefere weniger Malware-Signale, auf die herkömmliche Schutzsysteme typischerweise abgestimmt seien. Kampagnen liefen schnell ab und nutzten wechselnde Infrastruktur, um Erkennung auf Basis historischer Indikatoren zu umgehen. Aus Sicht der Endpunkterkennung sehe ein Nutzer, der PowerShell starte, gleich aus – unabhängig davon, ob er ein Wartungsskript der IT ausführe oder einen Dropper für Lumma Stealer.
Parallel dazu ist rund um ClickFix laut Reversing Labs ein florierendes Malware-as-a-Service-Modell entstanden. Komplette Angriffspakete werden demnach in Untergrundforen für 250 US-Dollar pro Monat oder 1.800 US-Dollar für eine lebenslange Lizenz einschließlich Software-Updates angeboten. Beworbene Funktionen umfassen dem Bericht zufolge auch Mechanismen zur Umgehung von Antivirus. Diese Kommerzialisierung senke die Einstiegshürden und erhöhe die Frequenz der Kampagnen.
Reversing Labs-Forscher Toni Dujmović beschreibt die operative Umsetzung des Ökosystems als „wirklich ausgefeilt“. Er verweist auf professionalisierte MaaS-Werkzeuge, analysegetriebenes Targeting, schnelle Variantenentwicklung und agile Infrastruktur. Als häufigste Nutzlast identifizierten die Forscher Lumma Stealer. Daneben werden auch Remote-Access-Trojaner über ClickFix verteilt, darunter DarkGate, XWorm, AsyncRAT, NetSupport und SectopRAT.
Nach Einschätzung von Dujmović hat sich ClickFix damit von einem Auslieferungsweg für Stealer zu einem Vektor für vollwertige RATs entwickelt. Das bedeute eine Verschiebung von schnellem Diebstahl von Zugangsdaten hin zu länger andauernden, interaktiven Einbrüchen mit seitlicher Bewegung und Exfiltration.
Zugleich entwickelt sich das Muster weiter. Microsoft identifizierte im Januar 2026 laut Reversing Labs eine Variante namens „CrashFix“, die den Browser des Opfers absichtlich abstürzen lässt und erst danach Social-Engineering-Köder zur Wiederherstellung einblendet. Reversing Labs zufolge erhöht das die Bereitschaft der Nutzer mitzumachen und verringert die Abhängigkeit von klassischen Exploit-Pfaden. Ein separater Bericht von NetSecurity dokumentierte im Januar zudem „Fix“-Angriffe, bei denen Nutzer unter dem Vorwand einer Fehlerbehebung oder einer CAPTCHA-Prüfung zum Kopieren, Einfügen und Ausführen angreiferkontrollierter Inhalte gedrängt werden. Dazu zählen FileFix gegen den Windows-Datei-Explorer, PromptFix gegen KI-Werkzeuge und ConsentFix gegen OAuth-Authentifizierung.
Als Gegenmaßnahme setzt Reversing Labs auf YARA-basierte Strukturanalyse. Die Forscher entwickelten eine strukturelle YARA-Regel, die die Köderseite selbst statt der Nutzlast liest, und prüften sie gegen ein Repository mit 422 Milliarden Samples. Laut Bericht markierte die als Open Source veröffentlichte Regel mindestens 123 bestätigte ClickFix-Köder, die jede AV-Engine umgangen hatten.
Der Vorteil von YARA liege darin, dass sich damit beschreiben lasse, wie eine Familie schädlicher Inhalte strukturell aussehe. Neue Samples könnten erkannt werden, solange sie dem Muster folgen – unabhängig von URL der Nutzlast, Domain oder rotierender Infrastruktur. Dujmović verweist dabei auf wiederkehrende Merkmale der ClickFix-Köderseiten: eine zugrunde liegende HTML-Struktur mit gefälschter Verifizierungsoberfläche, eine JavaScript-Funktion zum Beschreiben der Zwischenablage und PowerShell. Genau diese stabilen Verhaltensmuster seien eine verlässliche Grundlage für die Erkennung.
Zusätzlich empfehlen die Forscher, PowerShell durch verschiedene Maßnahmen einzuschränken, die Ausführung von Living-off-the-Land-Binaries über Windows Defender Application Control oder AppLocker zu begrenzen und auf verdächtige Aktivitäten der Zwischenablage sowie ungewöhnliche Eltern-Kind-Prozessbeziehungen zu achten. Auch Schulungen, um gefälschte Browser-Updates, CAPTCHA-Seiten und IT-Support-Aufforderungen zu erkennen, nennen sie als Abwehrmaßnahme.
