ClickFix Malware-Kampagne: Fake-Cloudflare-Check installiert unbemerkt MIMICRAT

ClickFix Malware-Kampagne verteilt MIMICRAT über Fake-Cloudflare-Seiten mit fünfstufiger Infektionskette, AMSI-/ETW-Bypass und HTTPS-C2.

ClickFix Malware-Kampagne: Kompromittierte Websites als Einfallstor

Fünfstufige Angriffskette führt zu MIMICRAT-Infektion

MIMICRAT: Maßgeschneiderte RAT mit Tarn-C2

22 Befehle für volle Kontrolle

Beacon-Intervall und Jitter-Steuerung

ClickFix-Kampagne entwickelt sich weiter

ClickFix Malware-Kampagne: Social Engineering auf Profi-Niveau

Über gefälschte Cloudflare-Prüfungen und kompromittierte Websites schleusen Angreifer per ClickFix Malware-Kampagne maßgeschneiderte MIMICRAT-RAT auf Windows-Systeme. Die mehrstufige Infektionskette hebelt zunächst gezielt Sicherheitsmechanismen wie AMSI und ETW aus, bevor sie die finale Remote-Access-Trojaner-Komponente im Speicher nachlädt. Statt auf Exploits setzen die Täter auf Social Engineering und Copy-&-Paste. Damit werden ahnungslose Nutzer selbst zum Einfallstor.

Die ClickFix Malware-Kampagne ist mit globaler Reichweite zurück und zugleich ausgefeilter als die bisherigen Varianten mit Stealern und Loadern. Sicherheitsforscher von Elastic Security Labs haben eine aktive Angriffswelle analysiert, bei der kompromittierte, eigentlich legitime Websites eine mehrstufige Infektionskette auslösen. Am Ende steht MIMICRAT, ein eigens entwickelter Remote-Access-Trojaner (RAT) mit Token-Diebstahl, SOCKS5-Tunneling und verschleierter HTTPS-Kommunikation. Statt eines herkömmlichen Infostealers setzen die Täter auf ein maßgeschneidertes Implantat für dauerhaften Zugriff.

ClickFix Malware-Kampagne: Kompromittierte Websites als Einfallstor

Im Zentrum der ClickFix Malware-Kampagne stehen kompromittierte legitime Webauftritte. Laut Elastic wurde unter anderem bincheck[.]io, ein Dienst zur Bank Identification Number (BIN)-Prüfung, manipuliert. Ein injiziertes Skript lädt von einer zweiten kompromittierten Seite – investonline[.]in – eine Datei mit dem Namen jq.php, getarnt als jQuery-Bibliothek.

Diese Datei präsentiert Besuchern eine gefälschte Cloudflare-Verifizierungsseite. Anstelle eines Captchas erhalten sie eine Schritt-für-Schritt-Anleitung, in der sie aufgefordert werden, die Windows-Taste und R zu drücken, den Inhalt einzufügen und mit Enter zu bestätigen. Unbemerkt wird ihnen dabei ein stark verschleierter PowerShell Befehl untergeschoben, der direkt in der Zwischenablage landet.

Die ClickFix Malware Kampagne nutzt damit bewusst Copy-&-Paste als Angriffsvektor. Es erfolgt kein klassischer Download und kein Exploit. Stattdessen setzt der Anwender selbst die Schadkette in Gang. Aber gerade der Social Engineering Ansatz sorgt dafür, dass die ClickFix Attacke so wirkungsvoll ist.

Die Fake-Seite unterstützt 17 Sprachen, darunter Deutsch, Englisch, Chinesisch und Russisch. Die Inhalte passen sich dynamisch an die jeweilige Browsersprache an. Identifizierte Opfer reichten von einer Universität in den USA bis zu Nutzern im chinesischsprachigen Raum. Das spricht für eine breit gestreute und auf Masse ausgelegte Zielauswahl.

Fünfstufige Angriffskette führt zu MIMICRAT-Infektion

Die aktuelle ClickFix Malware-Kampagne entfaltet eine technisch anspruchsvolle, fünfstufige Infektionskette.

Stufe 1: Obfuskierter PowerShell-Downloader

Der Clipboard-Befehl rekonstruiert zur Laufzeit die Domain xmri.network (45.13.212.250) mittels String-Slicing und arithmetischer Indizes. Klartext-Domains oder offensichtliche Cmdlets fehlen. Die erste Stufe lädt ein weiteres PowerShell-Skript vom C2-Server nach.

Stufe 2: ETW- und AMSI-Bypass

Das zweite Skript deaktiviert gezielt zentrale Sicherheitsmechanismen des Systems. Möglich wird die Manipulation durch eine Technik namens Reflection. Dabei greift das PowerShell-Skript zur Laufzeit auf interne .NET-Klassen zu, die normalerweise nicht öffentlich zugänglich sind. Konkret wird eine systeminterne Komponente angesprochen, die für die Protokollierung von PowerShell-Aktivitäten verantwortlich ist. Über Reflection kann das Skript ein privates Statusfeld dieser Klasse direkt verändern und die Ereignisaufzeichnung faktisch abschalten.

Das ist kein klassischer Exploit, sondern die Zweckentfremdung einer legitimen .NET-Funktion. Da PowerShell selbst auf .NET basiert, lassen sich solche internen Strukturen mit ausreichenden Rechten direkt ansprechen.

AMSI prüft PowerShell-Inhalte vor der Ausführung, ETW protokolliert sie. Werden beide Mechanismen manipuliert, wird der Code weder zuverlässig gescannt noch sauber protokolliert. Bereits ab diesem Punkt kann die eigentliche Payload weitgehend ungestört nachgeladen werden, weil die sicherheitsrelevante Überwachung im Hintergrund massiv eingeschränkt ist.

Zusätzlich werden mittels Marshal.Copy gezielte Speicher-Patches vorgenommen, um die AMSI-Scan-Funktion weiter zu unterlaufen.

Erst danach wird ein Base64-kodiertes ZIP-Archiv nach %ProgramData% extrahiert und eine Datei namens zbuild.exe gestartet. Die ClickFix Malware-Kampagne schaltet also zunächst die Überwachungsmechanismen aus, bevor die eigentliche Payload folgt.

zbuild.exe enthält einen statisch eingebetteten Lua-Interpreter (5.4.7). Ein verschlüsseltes Lua-Skript wird per XOR entschlüsselt. Dieses dekodiert Shellcode mit einer modifizierten Base64-Routine und injiziert ihn direkt in ausführbaren Speicher. Die eigentliche Payload läuft damit im RAM, ohne dass zuvor eine klassische Malware-Datei installiert werden muss. Das erschwert forensische Analysen erheblich, weil nach einem Neustart oft kaum Spuren auf dem System zurückbleiben.

Fileless-Techniken gelten deshalb als besonders effektiv, weil sie bestehende Bordmittel des Systems missbrauchen und klassische, dateibasierte Schutzmechanismen umgehen.

Der eingesetzte Shellcode weist strukturelle und signaturbasierte Parallelen zur Meterpreter-Codefamilie auf. Das deutet darauf hin, dass hier entweder bekannte Komponenten wiederverwendet oder zumindest ähnliche Techniken zum Einsatz kommen. Funktional übernimmt der Shellcode die Rolle eines reflektiven Loaders. Er lädt die finale MIMICRAT-Komponente direkt in den Arbeitsspeicher und führt sie dort aus, ohne dass sie zuvor klassisch über den Windows-Lader von der Festplatte gestartet werden muss.

Bei diesem sogenannten Reflective Loading wird das Portable-Executable-Format der RAT manuell im Speicher abgebildet. Importtabellen, Relocations und Einstiegspunkt werden dabei programmatisch verarbeitet. Auf diese Weise läuft die Malware vollständig im RAM und entzieht sich vielen dateibasierten Sicherheitsmechanismen.

Am Ende lädt die Angriffskette die finale MIMICRAT-Komponente in den Arbeitsspeicher und startet sie dort. Das Implantat wurde am 29. Januar 2026 kompiliert (MSVC x64, Linker 14.44). Es entspricht keinem bekannten Open-Source-C2-Framework, implementiert jedoch eigene „malleable“ HTTP-Profile zur Tarnung als legitimer Web-Traffic.

MIMICRAT: Maßgeschneiderte RAT mit Tarn-C2

MIMICRAT kommuniziert über HTTPS auf Port 443 und setzt gezielt auf ein mehrschichtiges Verschlüsselungsschema, um seine Kommunikation abzusichern und zu verschleiern. Für den initialen Schlüsselaustausch verwendet die Malware RSA 1024. Anschließend verschlüsselt sie den Datenverkehr symmetrisch per AES und verwendet dabei einen statischen Initialisierungsvektor, was kryptografisch als eher schwache Implementierung gilt. Die Sitzungsschlüssel erzeugt sie zur Laufzeit auf Basis eines SHA 256 Hashwertes. Darüber hinaus speichert MIMICRAT ihre Konfigurationswerte intern RC4 verschlüsselt ab.

Als Relay bindet die Malware unter anderem die Domain d15mawx0xveem1.cloudfront[.]net ein und missbraucht damit etablierte Cloud-Infrastruktur zur Tarnung ihrer Kommunikation. Für den Datenaustausch nutzt sie bewusst unauffällig wirkende HTTP Pfade wie /intake/organizations/events?channel=app oder /discover/pcversion/metrics?clientver=ds. Auch die User Agent Strings wählt sie so, dass sie legitime Browser oder Cortana Komponenten imitieren. Auf diese Weise tarnt die ClickFix Malware-Kampagne ihren Datenverkehr gezielt als vermeintlich legitimen Web Analytics Traffic und versucht, im normalen HTTPS Rauschen unterzugehen.

22 Befehle für volle Kontrolle

MIMICRAT implementiert insgesamt 22 verschiedene Kommandos und stellt damit ein vollwertiges Post-Exploitation-Werkzeug dar. Die Funktionen reichen von umfassender Prozess- und Dateiverwaltung über den gezielten Diebstahl von Zugriffstokens, deren anschließende Impersonation der Rechteausweitung und Identitätsübernahme auf Windows-Systemen dient. Zudem stellt die Malware eine persistente interaktive CMD-Shell bereit, also eine dauerhaft nutzbare Eingabeaufforderung, über die Angreifer kompromittierte Systeme in Echtzeit fernsteuern können.

Darüber hinaus unterstützt die Malware reflektive Shellcode-Injektion, um weiteren Schadcode direkt im Arbeitsspeicher auszuführen, sowie SOCKS5 Tunneling, mit dem Angreifer den kompromittierten Rechner als Proxy für verdeckte Netzwerkverbindungen missbrauchen können.

Beacon-Intervall und Jitter-Steuerung

Die Malware erlaubt zudem die Konfiguration von Beacon-Intervall und Jitter, sodass Angreifer das Kommunikationsverhalten flexibel anpassen können. Damit ist die RAT nicht nur ein Datensammler, sondern ein vollwertiges Post-Exploitation-Framework. Die technische Tiefe deutet darauf hin, dass die ClickFix-Angriffskampagne perspektivisch auch für Ransomware-Operationen oder gezielte Datenerpressung genutzt werden könnte.

ClickFix-Kampagne entwickelt sich weiter

In den vergangenen Wochen dokumentierten verschiedene Threat-Intelligence-Teams mehrere verwandte Varianten der ClickFix Malware. Dazu zählen unter anderem Kampagnen mit gefälschten CAPTCHA-Seiten zur Verteilung des Infostealers StealC, der gezielte Missbrauch von nslookup.exe für DNS-basiertes Payload-Staging sowie macOS-spezifische ClickFix-Seiten, die einen gefälschten Homebrew-Installer einsetzen, um den Cuckoo Stealer zu verbreiten.

Der rote Faden bleibt dabei unverändert. Die Angreifer verzichten auf klassische Exploits oder Zero-Day-Exploits und setzen stattdessen auf Social Engineering in Kombination mit legitimen Systemwerkzeugen. Am Ende wird der Nutzer selbst zur Einfallsschneise in das System.

ClickFix Malware-Kampagne: Social Engineering auf Profi-Niveau

Die aktuelle ClickFix Malware-Kampagne zeigt, wie sich Angriffe verschieben. Statt Sicherheitslücken auszunutzen, setzen Täter auf psychologische Manipulation und mehrstufige In-Memory-Techniken. Kompromittierte Websites sorgen für Glaubwürdigkeit, gefälschte Cloudflare-Prüfungen für Vertrauen. Ein einziger Copy-&-Paste-Vorgang fungiert dabei als Türöffner.

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.

Notepad++: Staatliche Hacker kapern Update-Server monatelang

Über ein halbes Jahr lang gelang es staatlichen Hackern, die Kontrolle über die Update-Funktion von Notepad++ zu übernehmen.

Google sieht Staatshacker mit Gemini in der Vorbereitung

Google sieht Anzeichen für Staatshacker mit Gemini, die in China, Iran und Nordkorea ihre LLMs für ihre missbräuchlichen Zwecke einsetzen.

Autonomes Fahren: Waymo ruft an, Deutschland legt auf

Die Google-Tochter Waymo entwickelt autonome Fahrzeuge. Die Rechtslage in Deutschland erlaubt den Einsatz aber momentan nicht.

Hide.me VPN Transparenzbericht 2025: wenige Anfragen, keine Kunden preisgegeben

Beim Hide.me VPN Transparenzbericht hat sich in den letzten Jahren vergleichsweise wenig getan. Der Anbieter gibt sowieso keine Daten raus!

ICE verliert Beweis-Festplatten: Beweischaos um Haftvideos

ICE verliert drei Festplatten mit Haftvideo-Beweisen. Im Prozess um das Broadview-Detention-Center häufen sich die Pannen.

Wegen KI-Spam: curl stellt Bug-Bounty ein

Das curl-Projekt muss nach Jahren und Tausenden Dollar an Sicherheitsforscher sein Bug-Bounty-Programm einstellen. Der Grund: LLMs.

Online-Betrug: Wie Fake-Trading-Apps und Scam-Fabriken Europas Anleger abzocken

Online-Betrug nimmt weltweit zu: Fake-Trading-Apps, Social-Media-Anzeigen und Scam-Fabriken in Asien täuschen Anleger.

Stealka Stealer: Fake-Roblox-Mods und Cheats plündern Krypto-Wallets

Stealka Stealer ist eine neue Windows-Malware, die sich als Roblox-Mod oder Cheat tarnt und Browserdaten sowie Krypto-Wallets plündert.

Windows 11 Key auslesen: Wie geht das?

Windows 11 Key auslesen. Finde deinen Lizenzschlüssel ohne zusätzliche Tools - schnell, legal und ohne Neuinstallation des Betriebssystems.

Cyberkriminalität: Amazon zeigte internationalen Betrügerring an

Amazon geht juristisch gegen internationale Cyberkriminelle vor, die das Rückerstattungssystem des Unternehmens missbraucht haben.

Phishing-Angriff auf Pepco: Millionenverlust für Einzelhandelskonzern

Ein raffinierter Phishing-Angriff auf die Pepco Group verursacht dem Unternehmen einen Verlust von 15,5 Millionen Euro.

WerFault.exe: Hacker missbrauchen Windows-Fehlermeldungstool

Durch einen über die WerFault.exe verbreiteten Trojaner verschaffen sich Angreifer Vollzugriff auf zahlreiche Windows-Systeme.

KeePass & Co.: RomCom versteckt Trojaner in beliebten Tools

Die Hackergruppe RomCom missbraucht beliebte Software-Marken wie KeePass und SolarWinds, um einen Trojaner an ihre Opfer zu verteilen.

SFX-Datei erlaubt Angreifern Befehlsausführung mit Systemrechten

Wie Forscher feststellten, kann die aus WinRAR oder 7-Zip bekannte selbstextrahierende SFX-Datei weitaus mehr als nur ihren Inhalt entpacken.

ClickFix-Malware über TikTok: Infostealer im Influencer-Gewand

ClickFix-Malware über TikTok: Mit viralen TikTok-Videos als Trojanischem Pferd starten Cyberkriminelle neue Angriffswellen.

Schutz vor Phishing: Die Tricks der Betrüger und wie man sich schützt

Heute wollen wir einen genaueren Blick darauf werfen, welche Arten von Phishing es gibt und wie man sich am besten davor schützen kann.

KI für Cyberangriffe genutzt: Microsoft und OpenAI schlagen Alarm

KI wird aktiv für Cyberangriffe eingesetzt. Vor allem staatliche Gruppen nutzen künstliche Intelligenz, um ihre Angriffe zu "verfeinern".

Datenpanne bei Google: ShinyHunters hat zugeschlagen

Google-Leak aufgedeckt: ShinyHunters dringt mit Social Engineering und OAuth-Missbrauch in Salesforce-Daten für KMUs ein.

© Tarnkappe