ClickFix und FileFix: Wenn Social Engineering zur Schnittstelle wird
In der Defensive Security liegt der Fokus häufig auf technischen Maßnahmen und bekannten Einfallstoren. Zum Beispiel Schwachstellen in Softwareprodukten, fehlende Patches oder unsichere Konfigurationen. Dabei wird eine der gefährlichsten Angriffsflächen oft übersehen. Nämlich der Nutzer selbst.
Mit gut gemachten Täuschungen lassen sich selbst moderne Schutzmechanismen sehr einfach aushebeln. Nicht durch technische Exploits, sondern durch präzise formulierte Anweisungen und etwas HTML.
Zwei besonders wirkungsvolle Social-Engineering-Techniken, die in letzter Zeit häufiger diskutiert werden, sind ClickFix und FileFix. Beide Techniken setzen auf das Prinzip, dass ein Benutzer selbst zum Angriffsvektor wird. Dabei reicht es schon, eine vertraute Situation zu simulieren und ein paar Tastenkombinationen vorzugeben. Der Rest passiert fast von allein.
ClickFix: Befehlskette durch Benutzerinteraktion
ClickFix macht sich zunutze, dass viele Nutzer Aktionen nahezu automatisch ausführen, sobald die Situation vertrauenswürdig wirkt. Ein typisches Beispiel ist eine gefälschte CAPTCHA- oder Validierungsseite, die vorgibt, den Browser oder die Verbindung überprüfen zu müssen. Das Design lehnt sich dabei an bekannte Vorbilder wie Cloudflare, Google reCAPTCHA oder ähnliche Dienste an. Mit dem einfachen Ziel, möglichst wenig Misstrauen zu wecken und eine automatisierte Routine des Nutzers zu triggern.
Nach einem Klick auf „Ich bin kein Roboter“ wird im Hintergrund, vollautomatisch ohne Wissen des Opfers, ein PowerShell-Befehl in die Tastatur-Zwischenablage kopiert. Gleichzeitig erhält der Benutzer eine einfache Anleitung:
„Zum Abschluss der Überprüfung drücken Sie Win + R, dann Win + V und anschließend Enter.“
Was tatsächlich passiert, ist die Ausführung des zuvor kopierten PowerShell-Befehls. In einem harmlosen Beispiel könnte das so aussehen:
powershell -WindowStyle Hidden -Command "[reflection.assembly]::loadwithpartialname('System.Windows.Forms') | Out-Null; [windows.forms.messagebox]::show('You have been pwned')"
An Stelle einer harmlosen Nachrichten-Box wie oben, könnte der Befehl aber genauso gut eine Datei aus dem Internet nachladen, Systembefehle unmittelbar ausführen oder persistente Änderungen am System vornehmen. Alles geschieht ohne administrativen Prompt, ohne einer persistenten Datei auf dem System und ohne sichtbare Fenster. Da die Ausführung vom Opfer selbst ausgelöst wird, schlagen viele Endpoint-Protection-Lösungen nicht an.
FileFix: Payload über die Adresszeile
Während ClickFix auf die Ausführung über die „Run“-Funktion von Windows (STRG+R) setzt, geht FileFix einen Schritt weiter. Hier wird die Bereitstellung einer Datei suggeriert, um den Windows Datei-Explorer zu öffnen.
Was viele nicht wissen: Die Adresszeile in Windows Explorer akzeptiert nicht nur Pfade, sondern auch ausführbare Befehle. Wenn also ein Benutzer dazu gebracht wird, in die Adresszeile einen vermeintlichen Dateipfad einzufügen, kann dort in Wirklichkeit ein Systembefehl stehen (z.B. PowerShell). Durch geschickt platzierte Leerzeichen oder Kommentarzeichen kann der schadhafte Befehl zusätzlich verschleiert werden und dem Opfer visuell unzugänglich sein.
Ein typisches Szenario sieht so aus: Der Angreifer erstellt eine Webseite, die vorgibt eine interne Datei bereitzustellen. Das Layout wirkt wie eine Dateiaustauschplattform (z.B. Microsoft SharePoint oder OneDrive). Im Text steht:
„Um die Datei HRPolicy.docx zu öffnen, kopieren Sie den Pfad unten und fügen Sie ihn in die Adresszeile im Datei-Explorer ein.“
Als Pfad wird etwa Folgendes angezeigt:
C:\company\internal-secure\filedrive\HRPolicy.docx
Was wirklich in die Zwischenablage kopiert wird, ist jedoch:
powershell -WindowStyle Hidden -Command "[reflection.assembly]::loadwithpartialname('System.Windows.Forms') | Out-Null; [windows.forms.messagebox]::show('You have been pwned','ᓚᘏᗢ Hacked by PTF')" # C:\\company\\internal-secure\\filedrive\\HRPolicy.docx
Beim Einfügen in die Adresszeile wird der eigentliche PowerShell-Befehl ausgeführt. Der abschließende Kommentar mittels des Zeichens „#“ sorgt dafür, dass dem Nutzer weiterhin der erwartete Dateipfad angezeigt wird und der eigentlich bösartige Befehl visuell verschwindet.
Besonders gefährlich ist hierbei, dass die Ausführung über den Explorer selbst erfolgt. In einigen Tests wurde beobachtet, dass ausgeführte Programme über diesen Weg kein MOTW (Mark of the Web) Attribut mehr tragen. Dies kann Auswirkungen auf SmartScreen und andere Schutzmechanismen haben, die das Ursprungskontextverhalten bewerten und eine Ausführung gegebenenfalls blockieren.
Warum diese Techniken funktionieren
Beide Methoden leben nicht von technischen Lücken, sondern von der Kombination aus Vertrauen, UI-Täuschung und systemeigenem Verhalten. Der Nutzer glaubt, eine Datei zu öffnen oder ein Problem zu lösen. In Wirklichkeit wird ein Befehl ausgeführt, von ihm selbst.
Ein Antivirus kann hier oft nichts erkennen. Es gibt keinen Dropper, keine verdächtige Signatur und kein ungewöhnliches Verhalten in einem Prozessbaum. Zumindest auf den ersten Blick. Einige EDR-Lösungen registrieren die Clipboard-Manipulation, aber nur selten wird sie mit einem darauffolgenden Win+R-Befehl korreliert.
Auch das Logging ist schwierig. Selbst wenn PowerShell aktiviert und überwacht wird, kann es wie eine legitime Benutzereingabe aussehen. Die Initialisierung erfolgt nicht über einen Fremdprozess. Damit fallen viele Regelwerke in SIEMs durch das Raster.
Schutzmöglichkeiten
Technisch lässt sich ClickFix nur schwer zuverlässig erkennen. Die besten Verteidigungsmaßnahmen kombinieren Monitoring mit klarer Nutzerkommunikation.
- Clipboard-Zugriffe durch Browser einschränken oder überwachen.
- Prozesse wie powershell.exe, cmd.exe oder mshta.exe, die von explorer.exe oder chrome.exe abstammen, besonders prüfen.
- Awareness-Maßnahmen mit echten Beispielen durchführen. Viele Nutzer kennen diese Art von Täuschung schlicht nicht.
Neben den bereits genannten Ansätzen lassen sich weitere technische und organisatorische Maßnahmen umsetzen, um ClickFix- und FileFix-Angriffe zu verhindern oder zumindest deutlich zu erschweren:
Technische Maßnahmen
-
Bestimmte Tastenkombinationen wie WIN+R, WIN+E oder WIN+I per Gruppenrichtlinie (GPO) deaktivieren, sofern sie im Arbeitsalltag nicht zwingend benötigt werden.
-
Zusätzlich PowerShell Script Block Logging aktivieren, um ausgeführte Befehle nachvollziehen zu können.
-
Applocker oder besser Windows Defender Application Control (z. B. mit AaronLocker) implementieren, um die Ausführung nicht autorisierter Programme zu verhindern.
-
Über DNS-Sinkholes oder NextGen-Firewalls bekannte bösartige Domains blockieren und Filterlisten regelmäßig aktualisieren.
-
Browser erzwingen, die tief in die EDR-Integration eingebunden sind (z. B. Microsoft Edge mit Defender for Endpoint), um einheitliches Verhalten und bessere Erkennung sicherzustellen.
-
Relevante Windows Event-IDs (z. B. für Prozessstarts, PowerShell-Nutzung oder Clipboard-Zugriffe) im SIEM überwachen.
Organisatorische Maßnahmen
-
Phishing-Awareness-Kampagnen regelmäßig durchführen, idealerweise kombiniert mit Live-Hacking-Demonstrationen dieser Angriffsmethoden.
-
Klare Meldewege für verdächtige Webseiten oder Dateien etablieren und regelmäßig trainieren (ggf. im ISMS festlegen).
-
Benutzer mit möglichst wenigen Rechten arbeiten lassen (Least Privilege Principle).
-
Interne IT-Teams für die Erkennung von UI-basierten Angriffen sensibilisieren.
Statistischer Hintergrund
Aktuelle Untersuchungen zeigen deutlich, wie stark ClickFix-Kampagnen zugenommen haben. Unit 42 beobachtete seit Jahresbeginn 2025 wöchentlich zweistellige bis dreistellige Fallzahlen, mit Spitzen von über 120 Vorfällen pro Woche. Betroffen sind zahlreiche Branchen, darunter Hightech, Finanzdienstleister, Fertigung, Handel, Verwaltung, Rechts- und Energiewirtschaft. In nahezu einem Dutzend Incident-Response-Fällen war ein ClickFix-Köder der Initialzugriff. Als Vektoren dienen u. a. kompromittierte legitime Websites, Malvertising, YouTube-„Hilfsvideos“ und Fake-Support-Foren; technisch dominiert Clipboard-Injection („Pastejacking“) mit Anweisungen zur Ausführung über Win+R oder Win+X.
Ergänzend berichtet Unit 42 in seinem Social-Engineering-Lagebild, dass Social Engineering insgesamt der häufigste Initialzugriffsvektor ist und signifikant häufiger zu Datenabfluss führt als andere Einstiegsmethoden (rund 60 % der Fälle mit Datenexposition). Das unterstreicht, dass UI-getriebene Täuschungen wie ClickFix/FileFix nicht nur „lästig“, sondern betriebsrelevant sind.
Fazit
ClickFix und FileFix zeigen, dass Angreifer längst nicht mehr nur auf technische Tricks setzen, sondern zunehmend auch das Nutzerverhalten durch Phishing und Social Engineering ausnutzen. Statt eine komplexe Sicherheitslücke anzugreifen, genügt es oft, dem Benutzer ein glaubwürdiges Interface vorzulegen und eine eindeutige Handlungsanweisung zu geben. Den Rest erledigt das System im Auftrag des Nutzers. Zuverlässig, ohne Fehlermeldung, ohne Warnung.
Wer heute über Angriffserkennung und Schutzmechanismen spricht, sollte nicht nur über CVEs und Exploits reden, sondern auch über UI-Tricks, Clipboard-Ketten und das Verhalten von Benutzern in stressigen Situationen. Denn was nicht wie ein Angriff aussieht, wird auch nicht wie ein Angriff behandelt. Genau das macht ClickFix und FileFix so erfolgreich.
Weiterführende Ressourcen und Services
Sie möchten die Awareness in Ihrem Unternehmen erhöhen oder prüfen, ob Ihre Maßnahmen gegen Techniken wie ClickFix und FileFix geschützt sind?
Wir unterstützen Sie mit:
- Individuellen Phishing-Awareness-Kampagnen mit realistischen Szenarien
- Live-Hacking-Demos für Führungskräfte, Mitarbeiter und IT-Teams
- Technische Tests zur Erkennung und Blockierung von UI-getriebenen Angriffen