Check Point Software Technologies GmbH
FileFix nutzt für Social Engineering Vertrauen der User in Windows Explorer aus.
Check Point Software Technologies warnt vor einer neuen Masche im Bereich des Social Engineerings, die von Hackern bereits eingesetzt wird: FileFix, eine gefährlichere Variante von ClickFix. Während letztere die Microsoft-Nutzer verleiten wollte, schädliche Befehlszeilen über das Kommandofenster Windows Run auszuführen, stützt sich FileFix auf den Windows Explorer, also ein Alltagsprogramm jedes Windows-Anwenders.
Eine betrügerische Website, auf der die Nutzer landen, zum Beispiel über Phishing-Betrug, startet ein legitimes Windows-Explorer-Fenster auf dem Zielrechner. Gleichzeitig läuft JavaScript heimlich auf der Website und kopiert ungesehen eine getarnte PowerShell-Befehlszeile in den Zwischenspeicher. Das ist der Bereich, in den man jede Art von Datei oder Text, Bild oder Video kopiert, wenn man den Kopieren-Befehl nutzt. Daraufhin fordert die Website den Nutzer auf, die Adresszeile im Explorer anzuklicken und Einfügen zu drücken, um angeblich einen Zielpfad einzustellen. In Wirklichkeit fügt der Nutzer nun den getarnten PowerShell-Befehl ein.
Bestätigt er nun mit der Eingabe-Taste, dann führt der Windows Explorer den Befehl aus und lädt auf diese Weise eine Malware herunter, die sofort ausgeführt wird – ohne irgendein Fenster zu öffnen, ein Warnsignal auszugeben oder eine weitere Nutzer-Interaktion zu erfordern. Für das Opfer sieht alles so aus, als solle er einen geteilten Ordner öffnen. Das macht FileFix so gefährlich im Vergleich zu ClickFix, denn Befehlszeileneingabe gehört nicht zum Alltag der großen Masse von Windows-Nutzern und kann diese daher stutzen lassen. Den Windows Explorer zu bedienen ist hingegen Routine.
Am 23. Juni 2025 wurde FileFix von einem Sicherheitsforscher als Möglichkeit öffentlich vorgestellt und nur zwei Wochen später, Anfang Juli, konnten die Sicherheitsforscher von Check Point die ersten Hacker dabei beobachten, wie sie diese neue Methode in echten Betrugsversuchen angewendet haben. Ausgerechnet die Bedrohungsgruppe, die ClickFix groß gemacht hat, fing an, mit FileFix zu experimentieren.
Am 06. Juli bereits hat Check Point Research (CPR) eine Domain entdeckt, die kürzlich registriert wurde, und eine Phishing Website enthält, die sehr ähnlich zu früheren Kampagnen der Gruppe aussieht. Zwar handelt es sich bei der über diese Website verbreiteten Datei noch um eine gutartige, aber dies alles deutet daraufhin, dass die Hacker sich auf einen breit angelegten Einsatz von FileFix als Methode vorbereiten.
Hacker-Gruppe hinter ClickFix und FileFix
Die Hacker-Gruppe hinter ClickFix, die nun FileFix an den Start bringt, ist bekannt dafür, große Krypto-Währungsbörsen ins Visier zu nehmen und gerne auf eigentliche legitime Dienstleister als Tarnung zu setzen. Am häufigsten locken Sie Opfer über SEO Poisoning an, was bedeutet, dass Suchergebnisse in Internet-Suchmaschinen manipuliert werden, um betrügerische Seiten nach oben in der Ergebnisliste zu bringen. Eine kürzlich entdeckte Malware-Kampagne nutzte eine betrügerische Werbung bei der Suchmaschine Bing. Nach einem Klick darauf, landete der Nutzer auf einer gefälschten Seite des Anbieters 1Password. Ein Markenzeichen der Gruppe ist die ständige Nachahmung von CAPTCHA-Fenstern der Firma Cloudflare und auch manch anderen. Außerdem übersetzen sie ihre Lockversuche und Phishing-Seiten in verschiedene Sprachen, wie Englisch, Koreanisch, Slowakisch und Russisch.
„Hacker begannen weniger als zwei Wochen nach der Veröffentlichung von FileFix mit dessen Einsatz, was zeigt, wie schnell sich Cyber-Kriminelle anpassen. Wie ClickFix, so basiert auch diese Technik nicht auf komplexen Exploits, sondern auf der Manipulation des alltäglichen Benutzerverhaltens. Durch den Wechsel vom Dialogfeld Ausführen zum Datei-Explorer verstecken sich Angreifer, sozusagen, nun in aller Öffentlichkeit, was die Erkennung erschwert und die Bedrohung gefährlicher macht,“ erklärt Eli Smadja, Group Manager, Security Research bei Check Point Software Technologies.
