Laut Sophos passen die Angreifer ihr Vorgehen laufend an, um Sicherheitswerkzeugen einen Schritt voraus zu bleiben. In der jüngsten Kampagne nutzen sie zudem das Vertrauen in ChatGPT-Konversationen aus, um Nutzer zur Ausführung schädlicher Befehle zu bewegen. Eine neu beobachtete Variante stelle “vermutlich die Anpassung des Malware-Entwicklers an Sicherheitsmaßnahmen von Betriebssystem und Software dar, um wirksam zu bleiben”, so Sophos. Verfeinerungen der typischen ClickFix-Methoden seien daher ein Weg, auf dem sich solche Kampagnen künftig weiterentwickeln könnten.
In den vergangenen Monaten setzten ClickFix-Kampagnen auf legitime Plattformen wie Cloudflare Pages (pages.dev), Squarespace und Tencent EdgeOne, um gefälschte Anleitungen für die Installation von Entwicklerwerkzeugen wie Anthropics Claude Code zu hosten. Die zugehörigen URLs werden über schädliche Suchmaschinenanzeigen verbreitet. Statt der erwarteten Software installieren die Opfer Infostealer wie Amatera Stealer. Diese als InstallFix oder GoogleFix bezeichnete Social-Engineering-Variante führt laut Nati Tal, Leiter von Guardio Labs, über ähnliche Infektionsketten auch zur Verbreitung des Alien-Infostealers unter Windows und von Atomic Stealer unter macOS.
Nach dem Einfügen und Ausführen des vermeintlichen Installationsbefehls für Claude Code lädt ein PowerShell-Befehl laut Tal ein legitimes Chrome-Erweiterungspaket innerhalb einer schädlichen HTML-Application (HTA), die anschließend einen verschleierten .NET-Loader für Alien im Arbeitsspeicher startet. Push Security betont den Unterschied zu klassischen Angriffen: Während herkömmliches ClickFix einen Vorwand für das Ausführen eines Befehls erfinden müsse – ein gefälschtes CAPTCHA, eine vorgetäuschte Fehlermeldung oder eine erfundene Systemaufforderung –, komme InstallFix ohne all das aus. Der Vorwand sei schlicht der Wunsch des Nutzers, echte Software zu installieren.
Nach Angaben von Pillar Security gab es zwischen Februar und März 2026 mindestens 20 verschiedene Malware-Kampagnen gegen Werkzeuge für Künstliche Intelligenz und sogenanntes Vibe Coding, darunter Code-Editoren, KI-Agenten, LLM-Plattformen, KI-Browser-Erweiterungen, KI-Videogeneratoren und KI-Geschäftsanwendungen. Neun davon zielten sowohl auf Windows als auch auf macOS, sieben weitere ausschließlich auf macOS. Der Grund liege auf der Hand, so Forscher Eilon Cohen: Nutzer solcher Werkzeuge arbeiteten stark überwiegend mit macOS und verfügten häufig über besonders wertvolle Zugangsdaten wie SSH-Schlüssel, Cloud-Token und Kryptowährungs-Wallets. Die Technik sei gegen Entwickler besonders wirksam, weil das Muster “curl | sh” ein legitimer Installationsweg sei, den auch Homebrew, Rust, nvm und viele andere Werkzeuge verwendeten – die schädlichen Befehle verbergen sich so in aller Offenheit.
Die Vorteile von ClickFix haben dazu geführt, dass mehrere Akteure die Technik übernommen haben. Dazu zählt ein als KongTuke (auch 404 TDS, Chaya_002, LandUpdate808 und TAG-124) bezeichnetes Traffic Distribution System, das laut Trend Micro über kompromittierte WordPress-Seiten und gefälschte CAPTCHA-Köder einen Python-basierten Trojaner namens ModeloRAT verbreitet. Die Schadsoftware prüfe, ob ein System Teil einer Unternehmensdomäne sei, und identifiziere installierte Sicherheitswerkzeuge – ein Hinweis auf den Fokus auf Unternehmensumgebungen. KongTuke nutze daneben die neuere CrashFix-Technik sowie DNS-TXT-Einträge, über die ein PowerShell-Skript nachgeladen wird.
In einem kürzlich veröffentlichten Bericht beschreibt Rapid7 zudem eine andauernde Kampagne, bei der vertrauenswürdige WordPress-Seiten kompromittiert werden, um ein ClickFix-Implantat einzuschleusen, das eine Cloudflare-Verifizierung vortäuscht. Mehr als 250 infizierte Websites – regionale Nachrichtenangebote und lokale Unternehmen – wurden in mindestens zwölf Ländern gefunden, darunter Deutschland, Australien, Brasilien, Kanada, Indien, Israel, die Schweiz, Großbritannien und die USA. Ziel ist die Kompromittierung von Windows-Systemen mit verschiedenen Stealer-Familien wie StealC, einer verbesserten Vidar-Variante, dem .NET-Stealer Impure Stealer und dem in C++ geschriebenen VodkaStealer. Wie die Seiten gekapert werden, ist laut Rapid7 unklar; vermutet werden ausgenutzte Schwachstellen in Plugins und Themes, gestohlene Admin-Zugangsdaten oder offen zugängliche wp-admin-Oberflächen.
