Ist die altbekannte Social-Engineering-Methode „ClickFix“ – bei der Nutzer aufgefordert werden, vermeintlich harmlose Befehle in die Eingabeaufforderung zu kopieren – endgültig zum Auslaufmodell erklärt worden? Weit gefehlt. Im Jahr 2026 erleben wir eine beunruhigende Renaissance und gefährliche Evolution dieser Taktik. Cyberkriminelle Gruppierungen haben sie nicht nur wiederentdeckt, sondern mit hochkomplexen, mehrstufigen Angriffsketten kombiniert, die selbst erfahrene Sicherheitsexperten in Atem halten. Die einfache Aufforderung „Kopieren Sie dies und fügen Sie es in PowerShell ein“ mutiert zum trojanischen Pferd für eine neue Generation von Malware-Loadern, die sich durch ausgeklügelte Verschleierungstechniken und modular-flexible Payloads auszeichnen.

Laut aktuellen Berichten von The Hacker News sind mehrere parallele ClickFix-Kampagnen aktiv, die drei distinct neue Loader in Umlauf bringen: BabaDeda, Lorem Ipsum und Potemkin. Diese Bedrohungen zielen nicht nur auf Windows-Systeme ab, sondern zeigen auch erhöhte Aktivität gegenüber macOS-Nutzern. Die Kampagnen haben bereits Organisationen im Bildungs- und Finanzsektor getroffen, über kompromittierte WordPress-Seiten aus Branchen wie Architektur und Recht verbreitet und sich in Netzwerken bis hin zum Domain Controller ausgebreitet. Forscher von Morphisec, BlueVoyant und Huntress dokumentieren eine besorgniserregende Professionalisierung dieser Angriffe, die klassische Verteidigungslinien wie Antiviren-Scans und Netzwerk-Firewalls gezielt umgehen.

Die ClickFix-Bedrohungslage 2026: Vom simplen Trick zum professionellen Service

Die Methode „ClickFix“ oder „Copy-Paste Compromise“ ist keine Neuheit. Ihr Erfolg basiert auf einem simplen, aber wirksamen psychologischen Prinzip: der Autoritätshörigkeit und dem Vertrauen des Nutzers in eine vermeintlich legitime Anweisung, oft im Kontext einer Fehlerbehebung oder eines dringenden Updates. Was sich 2026 fundamental geändert hat, ist die technische Raffinesse der nachgelagerten Angriffskette. Die ClickFix-Aufforderung ist nur noch der initiale Trigger, der Türöffner für eine Kaskade von technisch ausgefeilten Schritten.

Die Angreifer nutzen etablierte Infrastrukturen wie kompromittierte legitime Websites, täuschend echte Installer (wie den berichteten Fake-Claude-MSI-Installer von Rapid7) und Social-Media-Plattformen für Command-and-Control (C2). Die Loader selbst setzen auf Techniken wie Living-off-the-Land (LOLBin), DLL-Side-Loading, In-Memory-Execution und ausgeklügelte Persistenzmechanismen. Dies macht die Erkennung extrem schwierig, da viele Aktivitäten innerhalb legitimer Prozesse oder mit signierten Komponenten ablaufen.

Warum gerade jetzt? Der Druck auf traditionelle Vektoren

Ein treibender Faktor für diese Renaissance ist der erfolgreiche Druck von Sicherheitsunternehmen und Plattformbetreibern auf andere Verbreitungswege. Microsofts Störung von Kampagnen wie „Fox Tempest“ oder „Forging Marauder“, die signierte MSaaS-Komponenten (Microsoft-Signed-as-a-Service) missbrauchten, hat Akteure wie „Vanilla Tempest“ gezwungen, auf alternative Methoden wie ClickFix auszuweichen. Diese Verschiebung unterstreicht die adaptive Natur moderner Bedrohungsakteure: schließen Sie eine Tür, und sie finden ein Fenster – in diesem Fall ein Fenster, das direkt auf den Desktop des ahnungslosen Endnutzers führt.

Loader im Detail: BabaDeda, Lorem Ipsum und Potemkin

Die drei aktuell prominenten Loader teilen den initialen Verbreitungsweg, divergieren dann aber stark in ihren Techniken, Zielen und finalen Nutzlasten. Eine detaillierte Betrachtung ist essentiell, um ihr Gefahrenpotenzial zu verstehen.

BabaDeda Loader: Der vielseitige Crypter für den Finanzsektor

Der BabaDeda Loader, erstmals im April 2026 in Kampagnen gegen Bildungs- und Finanzeinrichtungen beobachtet, ist ein Paradebeispiel für professionalisierte Malware-As-a-Service (MaaS). Der Name stammt von einem bereits seit November 2021 bekannten Crypter-Service, der nun in neuen ClickFix-Kampagnen eine zweite Karriere startet. Wie Morphisec analysiert, beginnt der Angriff mit der klassischen ClickFix-Aufforderung, einen PowerShell-Befehl auszuführen.

Dieser Befehl initiiert einen mehrstufigen Prozess: Zunächst wird versteckter PowerShell-Code ausgeführt, der Shellcode direkt in den Speicher lädt. Dieser Shellcode nutzt dann DLL-Side-Loading, um seine Präsenz zu verschleiern. Eine besonders interessante „Besonderheit“ ist eine geografische Filterung: Der Loader prüft die Systemsprache und umgeht gezielt Systeme mit russischer oder belarussischer Konfiguration – ein mögliches Indiz für den Ursprung oder die Schonung bestimmter Regionen. Der finale Payload wird extern gespeichert und erst bei Erfolg dieser Checks nachgeladen. BabaDeda dient als Gateway für schwere Geschütze: eine .NET-basierte Backdoor/Infostealer-Kombination oder Banking-Trojaner wie DanaBot und Remote-Access-Trojaner (RATs) wie SectopRAT, verpackt in einem „Storage Crypter“.

Lorem Ipsum Loader: WordPress als Sprungbrett für Rhysida

Während BabaDeda breit gestreut agiert, wirkt der Lorem Ipsum Loader gezielter und ist klar der Advanced Persistent Threat (APT)-Gruppierung „Vanilla Tempest“ (auch bekannt als Rapid Brigantine oder Vice Society) zuzuordnen. Diese Gruppe ist berüchtigt für die Verbreitung der Rhysida-Ransomware. BlueVoyant-Forscher Thomas Elkins und Joshua Green dokumentieren, dass der Einstieg über mindestens fünf kompromittierte WordPress-Seiten aus spezifischen Branchen (Architektur, Rechtsdienstleistungen, Bautechnik) erfolgt.

Die Social-Engineering-Lockvogel ist hier ein angebliches „Edge-Browser-Update“. Der heruntergeladene ZIP-Archiv enthält eine veraltete Node.js-Version (7.10.1 aus dem Jahr 2017), die über DLL-Side-Loading (mscoree.dll, msvcp140.dll) eine Backdoor lädt. Die clevere Besonderheit: Die Backdoor „Lorem Ipsum“ holt ihre C2-Server-Adressen nicht aus hartkodierten Strings, sondern extrahiert sie aus öffentlichen Social-Media-Profilen (z.B. GitHub oder X). Dies macht eine statische Indikatorenblockade (IOC) nahezu unmöglich. Der Loader ist damit ein direkter Vorläufer für ransomware-bedingte Datenexfiltration und -verschlüsselung und zeigt, wie APTs kostengünstige Infrastrukturen (WordPress) mit komplexer Malware kombinieren.

Potemkin Loader: Der stille Infiltrator für Domain-Netzwerke

Der von Huntress-Forschern Anna Pham und Zach Rogers analysierte Potemkin Loader unterscheidet sich durch seine bemerkenswerte Persistenz und Lateral-Movement-Fähigkeiten. Der initiale Vektor ist ein HTA-Skript (HTML Application), das ein MSI-Paket installiert. Sobald der Loader aktiv ist, zeigt er ein hohes Maß an Operational Security (OpSec).

Er verwendet eine Domain Generation Algorithm (DGA) basierend auf einem 1.000-Wörter-Wörterbuch, um C2-Server zu ermitteln, und speichert eine eindeutige UUID in einer getarnten Datei (%LOCALAPPDATA%\hyper-v.ver). Seine Hauptnutzlasten sind EtherRAT und vor allem „RMMProject“ – ein in Lua geschriebenes, DLL-basiertes Tool, das als extrem gefährlicher Remote-Management- und Monitoring-Agent fungiert. RMMProject kann Chromes App-Bound Encryption (ABE) umgehen (relevant für gespeicherte Browser-Credentials), Bildschirme steuern und Credentials auslesen. Mit Tools wie Chisel (Reverse-SOCKS), Cloudflare-Tunnel, WMIExec und SMBExec bewegt sich die Malware lateral durch Netzwerke. Huntress dokumentierte Fälle, in denen sich die Infektion von über 11 Hosts bis hin zum Domain Controller ausbreitete, was die immense Gefahr für ganze Unternehmensnetzwerke unterstreicht.

Vergleich der drei neuen ClickFix-Loader

Die folgende Tabelle fasst die Kerncharakteristika der drei Loader zusammen und hilft, ihre unterschiedlichen Profile und Einsatzszenarien zu unterscheiden.

Gegenmaßnahmen und Erkennung: Nicht nur auf Windows fokussieren

Die Bedrohung durch ClickFix-Kampagnen beschränkt sich nicht auf Windows. Die Angreifer testen und adaptieren ihre Methoden auch für macOS. Ein wichtiger Schritt in diese Richtung ist die neue Sicherheitsfunktion in macOS Tahoe 26.4, über die Apple offiziell informiert. Das System warnt Nutzer nun explizit, wenn Text in das Terminal eingefügt wird, und fordert eine explizite Bestätigung. Diese kleine, aber feine Änderung zielt direkt auf ClickFix-Angriffe ab und unterstreicht, dass Plattformbetreiber die Gefahr ernst nehmen.

Für Unternehmen ergeben sich daraus mehrere zwingende Handlungsebenen:

Technische Kontrollen und Awareness

1. Endpoint Detection & Response (EDR): Unverzichtbar zur Erkennung von In-Memory-Execution, DLL-Side-Loading und anomalen Prozessverhalten (z.B. svchost.exe, der ungewöhnliche Child-Prozesse spawnet). EDR-Lösungen müssen regelbasiert und verhaltensbasiert arbeiten.

2. Netzwerk-Monitoring: Die Analyse von DNS-Abfragen kann DGA-Aktivitäten (wie bei Potemkin) aufdecken. Ungewöhnliche Outbound-Verbindungen zu Cloudflare-Tunneln oder SOCKS-Proxys sind Alarmzeichen.

3. Application Control / Allow-Listing: Das Einschränken der Ausführung von Skripten (PowerShell, HTA) und aus nicht-vertrauenswürdigen Pfaden kann den initialen Schritt blockieren. Die Nutzung von Tools wie Tools zur Überwachung von Paketmanagern kann auch helfen, unerwünschte Abhängigkeiten zu erkennen.

4. Regelmäßiges Patching und Härtung: Kompromittierte WordPress-Seiten sind ein häufiger Vektor. Regelmäßige Updates aller Web-Komponenten und die Härtung von Perimeter-Geräten sind grundlegend, um Angriffsflächen zu reduzieren.

Die menschliche Firewall stärken

Da der Angriff mit sozialer Manipulation beginnt, ist kontinuierliche Security Awareness Training (SAT) die wichtigste Gegenmaßnahme. Mitarbeiter müssen spezifisch für ClickFix-Szenarien sensibilisiert werden: „Führen Sie niemals Befehle aus, die Sie per E-Mail, Chat oder von einer unbekannten Website erhalten, in PowerShell, CMD oder das Terminal ein.“ Simulierte Phishing-Tests sollten diese Vektoren explizit enthalten. Die Botschaft muss klar sein: Selbst der harmlos aussehende Befehl kann die Tür öffnen für Angriffe, die ähnlich komplex sind wie der Missbrauch von Zero-Days in kritischer Netzwerkinfrastruktur.

Erkennung im Alltag: Verhaltensindikatoren für SOC-Teams

Für Security Operations Center (SOC) und Incident-Response-Teams ist die frühe Erkennung entscheidend. Da die initialen ClickFix-Befehle oft harmlos wirken, müssen Analysten auf nachgelagerte Verhaltensmuster achten. Typische Anzeichen für BabaDeda, Lorem Ipsum oder Potemkin umfassen das plötzliche Auftreten von PowerShell-Prozessen ohne sichtbaren Elternteil, das Herunterladen von ZIP-Archiven durch Skripte statt Browsern und das Starten veralteter Node.js- oder HTA-Dateien.

Logbasierte Hinweise und Netzwerk-Anomalien

Im EDR- und SIEM-Umfeld lassen sich verdächtige Muster ableiten: wiederholte DNS-Abfragen mit scheinbar zufälligen englischen Wörtern (Potemkin-DGA), ausgehende HTTPS-Verbindungen zu Cloudflare-Tunneln ohne bekannten Endpunkt sowie das Erscheinen der Datei %LOCALAPPDATA%\hyper-v.ver auf Endgeräten. Wer zentrale Log-Daten über Plattformen wie Splunk Enterprise aggregiert, kann diese IOCs mit korrelierten Regeln automatisch auswerten. Gleichzeitig sollten Admins beobachten, wenn Benutzer veraltete Node.js-Versionen oder MSI-Dateien aus temporären Pfaden starten – ein klassisches Muster, das auch bei KI-gestützten Angriffen auf Entwickler wiederkehrt.

Proaktive Threat Hunting

Beyond IOCs: Proaktives Threat Hunting sollte nach DLL-Side-Loading in legitimen Windows-Systemverzeichnissen suchen, nach ungewöhnlichen svchost.exe-Kindprozessen filtern und Browser-Credential-Zugriffe über DPAPI-Abfragen erkennen. Die Jagd auf potenzielle Lorem-Ipsum-Backdoor-C2-Kanäle erfordert zudem die Überwachung von Social-Media-Profilen auf eingebettete Base64-ähnliche Strings – ein ungewöhnlicher, aber realer Vektor. Wer diese Suchmuster regelmäßig automatisiert, verschiebt die Erkennung vom reaktiven Alert hin zur vorausschauenden Abwehr.

Fazit: ClickFix als Symptom eines anhaltenden Trends

Die Wiederauferstehung von ClickFix mit Loadern wie BabaDeda, Lorem Ipsum und Potemkin ist kein Zufall, sondern ein logischer Schritt in der Evolution der Cyberkriminalität. Sie spiegelt mehrere Trends wider: die Professionalisierung von Malware-as-a-Service, die Adaption an erfolgreiche Abwehrmaßnahmen (wie die Störung signierter Malware) und die gnadenlose Ausnutzung des menschlichen Faktors als schwächstes Glied. Diese Loader sind keine „einfache“ Malware mehr; sie sind Gateways für hochspezialisierte, zielgerichtete Angriffe, die Daten, Geld und gesamte Netzwerkkontrolle zum Ziel haben.

Die Gegenstrategie muss ebenso vielschichtig sein: technische Verteidigung in der Tiefe (Defense-in-Depth), die auch Speicher- und Laufzeitangriffe erkennt (ähnlich den Prinzipien von Transparentem Speicherschutz), kombiniert mit einer gestärkten menschlichen Firewall. Plattformbetreiber wie Apple gehen mit gezielten Warnungen voran. Für Sicherheitsverantwortliche bedeutet dies, wachsam zu bleiben, Indikatoren zu teilen und zu verstehen, dass die nächste scheinbar simple Aufforderung zum „Kopieren und Einfügen“ der Anfang vom Ende der Netzwerksicherheit sein kann. Die Ära der simplen Skript-Kiddies ist vorbei; wir kämpfen gegen gut ausgestattete, agile und professionelle Gegner, für die ClickFix nur das erste Werkzeug in einer gut gefüllten Werkzeugkiste ist.