ClickFix Malware-Kampagne verteilt MIMICRAT über Fake-Cloudflare-Seiten mit fünfstufiger Infektionskette, AMSI-/ETW-Bypass und HTTPS-C2.
Über gefälschte Cloudflare-Prüfungen und kompromittierte Websites schleusen Angreifer per ClickFix Malware-Kampagne maßgeschneiderte MIMICRAT-RAT auf Windows-Systeme. Die mehrstufige Infektionskette hebelt zunächst gezielt Sicherheitsmechanismen wie AMSI und ETW aus, bevor sie die finale Remote-Access-Trojaner-Komponente im Speicher nachlädt. Statt auf Exploits setzen die Täter auf Social Engineering und Copy-&-Paste. Damit werden ahnungslose Nutzer selbst zum Einfallstor.
Die ClickFix Malware-Kampagne ist mit globaler Reichweite zurück und zugleich ausgefeilter als die bisherigen Varianten mit Stealern und Loadern. Sicherheitsforscher von Elastic Security Labs haben eine aktive Angriffswelle analysiert, bei der kompromittierte, eigentlich legitime Websites eine mehrstufige Infektionskette auslösen. Am Ende steht MIMICRAT, ein eigens entwickelter Remote-Access-Trojaner (RAT) mit Token-Diebstahl, SOCKS5-Tunneling und verschleierter HTTPS-Kommunikation. Statt eines herkömmlichen Infostealers setzen die Täter auf ein maßgeschneidertes Implantat für dauerhaften Zugriff.
ClickFix Malware-Kampagne: Kompromittierte Websites als Einfallstor
Im Zentrum der ClickFix Malware-Kampagne stehen kompromittierte legitime Webauftritte. Laut Elastic wurde unter anderem bincheck[.]io, ein Dienst zur Bank Identification Number (BIN)-Prüfung, manipuliert. Ein injiziertes Skript lädt von einer zweiten kompromittierten Seite – investonline[.]in – eine Datei mit dem Namen jq.php, getarnt als jQuery-Bibliothek.
Diese Datei präsentiert Besuchern eine gefälschte Cloudflare-Verifizierungsseite. Anstelle eines Captchas erhalten sie eine Schritt-für-Schritt-Anleitung, in der sie aufgefordert werden, die Windows-Taste und R zu drücken, den Inhalt einzufügen und mit Enter zu bestätigen. Unbemerkt wird ihnen dabei ein stark verschleierter PowerShell Befehl untergeschoben, der direkt in der Zwischenablage landet.
Die ClickFix Malware Kampagne nutzt damit bewusst Copy-&-Paste als Angriffsvektor. Es erfolgt kein klassischer Download und kein Exploit. Stattdessen setzt der Anwender selbst die Schadkette in Gang. Aber gerade der Social Engineering Ansatz sorgt dafür, dass die ClickFix Attacke so wirkungsvoll ist.
Die Fake-Seite unterstützt 17 Sprachen, darunter Deutsch, Englisch, Chinesisch und Russisch. Die Inhalte passen sich dynamisch an die jeweilige Browsersprache an. Identifizierte Opfer reichten von einer Universität in den USA bis zu Nutzern im chinesischsprachigen Raum. Das spricht für eine breit gestreute und auf Masse ausgelegte Zielauswahl.
Fünfstufige Angriffskette führt zu MIMICRAT-Infektion
Die aktuelle ClickFix Malware-Kampagne entfaltet eine technisch anspruchsvolle, fünfstufige Infektionskette.
Stufe 1: Obfuskierter PowerShell-Downloader
Der Clipboard-Befehl rekonstruiert zur Laufzeit die Domain xmri.network (45.13.212.250) mittels String-Slicing und arithmetischer Indizes. Klartext-Domains oder offensichtliche Cmdlets fehlen. Die erste Stufe lädt ein weiteres PowerShell-Skript vom C2-Server nach.
Stufe 2: ETW- und AMSI-Bypass
Das zweite Skript deaktiviert gezielt zentrale Sicherheitsmechanismen des Systems. Möglich wird die Manipulation durch eine Technik namens Reflection. Dabei greift das PowerShell-Skript zur Laufzeit auf interne .NET-Klassen zu, die normalerweise nicht öffentlich zugänglich sind. Konkret wird eine systeminterne Komponente angesprochen, die für die Protokollierung von PowerShell-Aktivitäten verantwortlich ist. Über Reflection kann das Skript ein privates Statusfeld dieser Klasse direkt verändern und die Ereignisaufzeichnung faktisch abschalten.
Das ist kein klassischer Exploit, sondern die Zweckentfremdung einer legitimen .NET-Funktion. Da PowerShell selbst auf .NET basiert, lassen sich solche internen Strukturen mit ausreichenden Rechten direkt ansprechen.
AMSI prüft PowerShell-Inhalte vor der Ausführung, ETW protokolliert sie. Werden beide Mechanismen manipuliert, wird der Code weder zuverlässig gescannt noch sauber protokolliert. Bereits ab diesem Punkt kann die eigentliche Payload weitgehend ungestört nachgeladen werden, weil die sicherheitsrelevante Überwachung im Hintergrund massiv eingeschränkt ist.
Zusätzlich werden mittels Marshal.Copy gezielte Speicher-Patches vorgenommen, um die AMSI-Scan-Funktion weiter zu unterlaufen.
Erst danach wird ein Base64-kodiertes ZIP-Archiv nach %ProgramData% extrahiert und eine Datei namens zbuild.exe gestartet. Die ClickFix Malware-Kampagne schaltet also zunächst die Überwachungsmechanismen aus, bevor die eigentliche Payload folgt.
Stufe 3: Lua-Loader
zbuild.exe enthält einen statisch eingebetteten Lua-Interpreter (5.4.7). Ein verschlüsseltes Lua-Skript wird per XOR entschlüsselt. Dieses dekodiert Shellcode mit einer modifizierten Base64-Routine und injiziert ihn direkt in ausführbaren Speicher. Die eigentliche Payload läuft damit im RAM, ohne dass zuvor eine klassische Malware-Datei installiert werden muss. Das erschwert forensische Analysen erheblich, weil nach einem Neustart oft kaum Spuren auf dem System zurückbleiben.
Fileless-Techniken gelten deshalb als besonders effektiv, weil sie bestehende Bordmittel des Systems missbrauchen und klassische, dateibasierte Schutzmechanismen umgehen.
Stufe 4: Shellcode
Der eingesetzte Shellcode weist strukturelle und signaturbasierte Parallelen zur Meterpreter-Codefamilie auf. Das deutet darauf hin, dass hier entweder bekannte Komponenten wiederverwendet oder zumindest ähnliche Techniken zum Einsatz kommen. Funktional übernimmt der Shellcode die Rolle eines reflektiven Loaders. Er lädt die finale MIMICRAT-Komponente direkt in den Arbeitsspeicher und führt sie dort aus, ohne dass sie zuvor klassisch über den Windows-Lader von der Festplatte gestartet werden muss.
Bei diesem sogenannten Reflective Loading wird das Portable-Executable-Format der RAT manuell im Speicher abgebildet. Importtabellen, Relocations und Einstiegspunkt werden dabei programmatisch verarbeitet. Auf diese Weise läuft die Malware vollständig im RAM und entzieht sich vielen dateibasierten Sicherheitsmechanismen.
Stufe 5: MIMICRAT
Am Ende lädt die Angriffskette die finale MIMICRAT-Komponente in den Arbeitsspeicher und startet sie dort. Das Implantat wurde am 29. Januar 2026 kompiliert (MSVC x64, Linker 14.44). Es entspricht keinem bekannten Open-Source-C2-Framework, implementiert jedoch eigene „malleable“ HTTP-Profile zur Tarnung als legitimer Web-Traffic.
MIMICRAT: Maßgeschneiderte RAT mit Tarn-C2
MIMICRAT kommuniziert über HTTPS auf Port 443 und setzt gezielt auf ein mehrschichtiges Verschlüsselungsschema, um seine Kommunikation abzusichern und zu verschleiern. Für den initialen Schlüsselaustausch verwendet die Malware RSA 1024. Anschließend verschlüsselt sie den Datenverkehr symmetrisch per AES und verwendet dabei einen statischen Initialisierungsvektor, was kryptografisch als eher schwache Implementierung gilt. Die Sitzungsschlüssel erzeugt sie zur Laufzeit auf Basis eines SHA 256 Hashwertes. Darüber hinaus speichert MIMICRAT ihre Konfigurationswerte intern RC4 verschlüsselt ab.
Als Relay bindet die Malware unter anderem die Domain d15mawx0xveem1.cloudfront[.]net ein und missbraucht damit etablierte Cloud-Infrastruktur zur Tarnung ihrer Kommunikation. Für den Datenaustausch nutzt sie bewusst unauffällig wirkende HTTP Pfade wie /intake/organizations/events?channel=app oder /discover/pcversion/metrics?clientver=ds. Auch die User Agent Strings wählt sie so, dass sie legitime Browser oder Cortana Komponenten imitieren. Auf diese Weise tarnt die ClickFix Malware-Kampagne ihren Datenverkehr gezielt als vermeintlich legitimen Web Analytics Traffic und versucht, im normalen HTTPS Rauschen unterzugehen.
22 Befehle für volle Kontrolle
MIMICRAT implementiert insgesamt 22 verschiedene Kommandos und stellt damit ein vollwertiges Post-Exploitation-Werkzeug dar. Die Funktionen reichen von umfassender Prozess- und Dateiverwaltung über den gezielten Diebstahl von Zugriffstokens, deren anschließende Impersonation der Rechteausweitung und Identitätsübernahme auf Windows-Systemen dient. Zudem stellt die Malware eine persistente interaktive CMD-Shell bereit, also eine dauerhaft nutzbare Eingabeaufforderung, über die Angreifer kompromittierte Systeme in Echtzeit fernsteuern können.
Darüber hinaus unterstützt die Malware reflektive Shellcode-Injektion, um weiteren Schadcode direkt im Arbeitsspeicher auszuführen, sowie SOCKS5 Tunneling, mit dem Angreifer den kompromittierten Rechner als Proxy für verdeckte Netzwerkverbindungen missbrauchen können.
Beacon-Intervall und Jitter-Steuerung
Die Malware erlaubt zudem die Konfiguration von Beacon-Intervall und Jitter, sodass Angreifer das Kommunikationsverhalten flexibel anpassen können. Damit ist die RAT nicht nur ein Datensammler, sondern ein vollwertiges Post-Exploitation-Framework. Die technische Tiefe deutet darauf hin, dass die ClickFix-Angriffskampagne perspektivisch auch für Ransomware-Operationen oder gezielte Datenerpressung genutzt werden könnte.
ClickFix-Kampagne entwickelt sich weiter
In den vergangenen Wochen dokumentierten verschiedene Threat-Intelligence-Teams mehrere verwandte Varianten der ClickFix Malware. Dazu zählen unter anderem Kampagnen mit gefälschten CAPTCHA-Seiten zur Verteilung des Infostealers StealC, der gezielte Missbrauch von nslookup.exe für DNS-basiertes Payload-Staging sowie macOS-spezifische ClickFix-Seiten, die einen gefälschten Homebrew-Installer einsetzen, um den Cuckoo Stealer zu verbreiten.
Der rote Faden bleibt dabei unverändert. Die Angreifer verzichten auf klassische Exploits oder Zero-Day-Exploits und setzen stattdessen auf Social Engineering in Kombination mit legitimen Systemwerkzeugen. Am Ende wird der Nutzer selbst zur Einfallsschneise in das System.
ClickFix Malware-Kampagne: Social Engineering auf Profi-Niveau
Die aktuelle ClickFix Malware-Kampagne zeigt, wie sich Angriffe verschieben. Statt Sicherheitslücken auszunutzen, setzen Täter auf psychologische Manipulation und mehrstufige In-Memory-Techniken. Kompromittierte Websites sorgen für Glaubwürdigkeit, gefälschte Cloudflare-Prüfungen für Vertrauen. Ein einziger Copy-&-Paste-Vorgang fungiert dabei als Türöffner.
