Angreifer nutzen dabei manipulierte Webseiten oder gefälschte E-Mails, um legitime Dienste wie Booking.com oder Google Meet nachzuahmen. Sobald Nutzer auf solche Seiten zugreifen, erscheint eine scheinbar harmlose CAPTCHA-Prüfung – verbunden mit der Aufforderung, einen angezeigten Befehl in das Terminal oder die Eingabeaufforderung des Rechners einzutippen. Damit gelingt es den Tätern, Schutzmechanismen zu umgehen und Schadsoftware direkt ins System einzuschleusen.

Auch Linux und macOS betroffen

Besonders tückisch: Die Methode funktioniert betriebssystemübergreifend. Neben Windows sind laut ESET auch Linux- und macOS-Nutzer betroffen. So nutzen die Angreifer unter anderem missbrauchte Tastenkombinationen wie Alt+F2 bei Linux oder Terminalkommandos auf dem Mac, um ihre Schadprogramme zu platzieren. Die Palette reicht von Infostealern und Remote-Access-Trojanern bis hin zu Ransomware wie Interlock.

Glaubwürdig gestaltete Meldungen

Die Sicherheitsforscher warnen eindringlich vor der hohen Glaubwürdigkeit solcher Täuschungen. Gerade weil CAPTCHAs und Fehlermeldungen im Netz zum Alltag gehören, reagieren viele Menschen reflexhaft – und übersehen die Warnzeichen. Laut ESET nutzen inzwischen auch staatlich gesteuerte Gruppen aus Nordkorea, Russland und Iran die ClickFix-Methode für gezielte Angriffe.

Experten raten Nutzern zur besonderen Vorsicht: Kein legitimer Dienst fordert je dazu auf, Code manuell im Terminal einzugeben. Unternehmen sollten darüber hinaus PowerShell- und Skriptnutzung mit Endpoint Detection & Response (EDR) überwachen und ihre E-Mail-Infrastruktur stärker absichern.