ClickFix: TikTok-Videos leiten zur Installation von Malware an

Whitebird
ClickFix: TikTok-Videos leiten zur Installation von Malware an
Tiktok-Videos sind aller Kritik zum Trotz eine beliebte Anlaufstelle für Informationen - doch genau das machen sich Cyberkriminelle zunutze, indem sie statt vermeintlich hilfreicher Tipps zur Installation von Malware verleiten.
Autor: Jusuf Hatic • 26.5.2025


Cyberkriminelle haben eine neue Methode entwickelt, um Malware zu verbreiten: Sie nutzen TikTok-Videos, die vermutlich mit KI-Tools erstellt wurden, um Nutzer dazu zu verleiten, schädliche PowerShell-Befehle auszuführen. Diese als "ClickFix" (via WinFuture) bekannte Angriffsmethode hat bereits mehrere hunderttausend Nutzer erreicht.

ClickFix ist eine Social-Engineering-Technik, die auf der menschlichen Neigung basiert, technische Probleme schnell zu lösen. Die Angreifer präsentieren scheinbar hilfreiche Lösungen für vermeintliche Software-Probleme und leiten Nutzer dazu an, gefährliche Befehle auszuführen. Diese Methode unterscheidet sich von herkömmlichen Malware-Angriffen dadurch, dass die Opfer aktiv zur Installation der Schadsoftware beitragen.

Die Technik funktioniert durch die Darstellung gefälschter Fehlermeldungen oder CAPTCHA-Seiten, die Nutzer dazu auffordern, bestimmte Tastenkombinationen zu drücken und vorgefertigte Befehle in das Windows-Ausführungsfenster einzufügen. Microsoft hat bereits vor dieser Bedrohung gewarnt, nachdem die Cyberkriminellengruppe Storm-1865 seit Dezember 2024 gezielt das Gastgewerbe mit ClickFix-Phishing-Kampagnen angreift.

Die durch die TikTok-Videos verbreitete Malware umfasst hauptsächlich zwei Arten von Informationsdieben namens Vidar und StealC. Der Angriff erfolgt in mehreren Stufen: Die TikTok-Videos leiten Benutzer verbal und visuell dazu an, den Windows-Ausführungsdialog zu öffnen (Windows + R), PowerShell zu starten und bestimmte Befehle einzugeben. Diese Befehle laden ein Remote-Skript herunter, das die entsprechende Malware installiert.

Nach der ersten Infektion lädt das System ein zweites PowerShell-Skript herunter, das einen Registry-Schlüssel hinzufügt, um die Malware automatisch beim Systemstart zu starten. Die Schadsoftware wird in einem versteckten Verzeichnis gespeichert und löscht temporäre Ordner, um einer Entdeckung zu entgehen.


quelle: connect.de