ClickFix-Hacker gibt sich als Risikokapitalgesellschaft aus, um Krypto-Nutzer anzugreifen, QuickLens wurde böswillig übernommen und offengelegt

Das Sicherheitsunternehmen Moonlock Lab veröffentlichte am Montag einen Bericht, der die neuesten Angriffsmethoden von Kryptowährungs-Hackern mit Schwerpunkt auf der „ClickFix“-Technik aufdeckt: Betrüger kontaktieren Krypto-Profis auf LinkedIn, indem sie sich als gefälschte Venture-Capital-Firmen wie SolidBit oder MegaBit ausgeben, um Kooperationsmöglichkeiten anzubieten. Schließlich verleiten sie die Opfer dazu, bösartige Befehle auf ihrem Computer auszuführen, um Krypto-Assets zu stehlen.

Analyse der ClickFix-Angriffsmethode: Opfer werden zu Angreifern

Der Kern der ClickFix-Technik liegt darin, den traditionellen Infektionsweg von Malware grundlegend zu verändern. Der Angriff verläuft meist in folgenden Phasen:

Erste Phase (Social Engineering auf LinkedIn): Die Hacker kontaktieren das Ziel unter dem Vorwand einer Fake-Venture-Capital-Firma und bieten scheinbar legitime Geschäftsmöglichkeiten an, um initiales Vertrauen aufzubauen.

Zweite Phase (Gefälschtes Video-Link): Das Ziel wird auf eine gefälschte Zoom- oder Google Meet-Seite geleitet, die eine „Veranstaltungsseite“ imitiert.

Dritte Phase (Clipboard-Hijacking): Die Seite zeigt eine gefälschte Cloudflare-„Ich bin kein Roboter“-Prüfung. Nach dem Klick wird eine bösartige Anweisung heimlich in die Zwischenablage des Nutzers kopiert.

Vierte Phase (Selbstausführung): Der Nutzer wird aufgefordert, den Computer zu öffnen und einen „Verifizierungscode“ einzufügen, wobei tatsächlich die Angriffsbefehle ausgeführt werden.

Das Moonlock Lab-Team erklärt: „Die Effizienz von ClickFix liegt darin, das Opfer selbst zum Ausführer des Angriffs zu machen. Es lässt das Opfer Befehle einfügen und ausführen, wodurch die Sicherheitsmaßnahmen der Branche umgangen werden – ohne Exploits oder verdächtige Downloads.“

Details zum QuickLens-Hijacking und Liste der Schadfunktionen

Der Fall des QuickLens-Browser-Add-ons zeigt eine andere Angriffsmethode – eine Supply-Chain-Attacke gegen legitime Nutzer:

1. Februar: Übernahme des QuickLens-Add-ons (Eigentumsübertragung)

Zwei Wochen später: Der neue Eigentümer veröffentlicht ein Update mit bösartigem Script

23. Februar: Sicherheitsforscher Tuckner deckt auf, dass das Add-on aus dem Chrome Web Store entfernt wurde

Liste der Schadfunktionen:

· Suche und Diebstahl von Kryptowallet-Daten und Seed Phrases

· Zugriff auf Gmail-Posteingänge

· Diebstahl von YouTube-Kanal-Informationen

· Abfangen von Anmeldedaten und Zahlungsinformationen in Webformularen

Laut einem Bericht von eSecurity Planet nutzt die gehackte Erweiterung sowohl das ClickFix-Modul als auch andere Daten-Diebstahl-Tools, was auf eine koordinierte Mehr-Tool-Strategie der Hintermänner hinweist.

Breiteres Bedrohungsspektrum von ClickFix

Moonlock Lab weist darauf hin, dass sich die ClickFix-Technik seit 2025 schnell unter Bedrohungsakteuren verbreitet hat. Der Vorteil liegt darin, dass sie menschliches Verhalten ausnutzt, anstatt auf Softwarelücken zu setzen, was die Erkennung durch herkömmliche Sicherheitslösungen grundsätzlich erschwert.

Microsofts Threat Intelligence Center warnte im August 2025, dass sie kontinuierlich Angriffe verfolgen, die täglich Tausende von Unternehmen und Endgeräte weltweit betreffen. Das Cyber Threat Intelligence-Unternehmen Unit42 bestätigte im Juli 2025, dass ClickFix Branchen wie Fertigung, Großhandel, Einzelhandel, staatliche und kommunale Behörden sowie Energieversorger beeinflusst – weit über den Bereich der Kryptowährungen hinaus.

Häufig gestellte Fragen

Warum können ClickFix-Angriffe Anti-Virus- und Sicherheitssoftware umgehen?

Traditionelle Antivirenprogramme erkennen und blockieren verdächtige Programme durch automatische Ausführung. ClickFix bricht dieses Muster, indem es den „Menschen“ zum Ausführer macht – das Opfer gibt Befehle ein und führt sie aus, anstatt dass Malware automatisch installiert wird. Dadurch sind Verhaltensbasierte Sicherheitslösungen kaum in der Lage, die Bedrohung zu erkennen, da die Aktionen wie normale Nutzeraktivitäten erscheinen.

Wie erkennt man Social-Engineering-Angriffe vom Typ ClickFix?

Typische Anzeichen sind: Anfragen von unbekannten LinkedIn-Accounts für Geschäftskontakte, das Klicken auf Meeting-Links, gefolgt von Aufforderungen zur Eingabe eines „Verifizierungscodes“ oder „Schritte zur Behebung“, sowie Anweisungen, die den Nutzer auffordern, eine Eingabeaufforderung (Terminal, Kommandozeile) zu öffnen und Code einzufügen. Gefälschte Cloudflare- oder CAPTCHA-Interfaces sind ebenfalls Hinweise. Grundregel: Legitime Dienste verlangen niemals, dass Nutzer Befehle im Terminal ausführen, um sich zu verifizieren.

Welche Maßnahmen sollten QuickLens-Nutzer jetzt ergreifen?

Falls QuickLens installiert wurde, sollte es sofort entfernt werden. Zudem sollten alle möglicherweise betroffenen Kryptowallets (neue Seed Phrases generieren und Gelder auf neue Wallets transferieren) sowie die zugehörigen Gmail- und Kontenpasswörter geändert werden. Es ist ratsam, regelmäßig die installierten Browser-Erweiterungen zu überprüfen und bei kürzlichen Eigentumsänderungen besonders vorsichtig zu sein.