In der heutigen digitalen Welt sind soziale Medien längst nicht mehr nur Plattformen für Unterhaltung und sozialen Austausch, sondern auch ein beliebtes Werkzeug für Cyberkriminelle. Besonders TikTok, die weltweit populäre Video-Sharing-App, wird aktuell von Angreifern ausgenutzt, um Infostahler durch sogenannte ClickFix-Attacken zu verbreiten. Diese neue Form der Malware-Verbreitung stellt jeden Nutzer vor ernsthafte Sicherheitsrisiken und ist ein Beispiel dafür, wie moderne Cyberangriffe soziale Netzwerke für sich nutzen, um möglichst viele Opfer zu erreichen. ClickFix-Attacken sind eine ausgeklügelte Variante der Social-Engineering-Angriffe. Hierbei handelt es sich um Manipulationen, die darauf abzielen, Benutzer dazu zu verleiten, schädliche Aktionen auf ihren eigenen Geräten auszuführen.
Im Falle der aktuellen TikTok-Kampagnen überzeugen die Angreifer ihre Opfer, PowerShell-Befehle auszuführen, die vermeintlich dazu dienen, Probleme mit der Anzeige von Inhalten zu lösen, eine CAPTCHA zu entsperren oder Software wie Windows, Microsoft Office, Spotify oder CapCut zu aktivieren. Tatsächlich laden solche Befehle allerdings heimlich Malware herunter und installieren diese. Trend Micro hat diese auffälligen Attacken analysiert und zeigt eindrücklich, wie Videoinhalte, oft mittels künstlicher Intelligenz erstellt, als Köder dienen. Die Videos vermitteln glaubhaft Anleitungen, wie Nutzer angeblich Features freischalten oder ihr Nutzererlebnis verbessern können. Dank des algorithmisch gesteuerten Reichweiten-Mechanismus von TikTok verbreiten sich solche Videos rasant.
Einige Clips erlangten über eine halbe Million Aufrufe, was die potenzielle Anzahl der gefährdeten Geräte immens erhöht. Die Malware, die über diese ClickFix-Attacken verteilt wird, sind vor allem stilistische Informationsdiebe wie Vidar und StealC. Vidar verfügt über die Fähigkeit, Screenshots des Bildschirms anzufertigen und vertrauliche Daten wie Zugangsdaten, Bankinformationen, Krypto-Wallet-Daten, Browser-Cookies sowie Authentifikationsdaten von Zwei-Faktor-Programmen zu stehlen. StealC hat ähnliche Funktionen und konzentriert sich auf die Ausforschung unterschiedlicher Browser-Daten und Kryptowährungs-Wallets. Diese Schadprogramme sind sehr heimlich und laufen oft unbemerkt im Hintergrund mit hohen Zugriffsrechten.
Die Vorgehensweise der Angreifer ist dabei technisch raffiniert. Zunächst wird über den ausgeführten PowerShell-Befehl ein Skript von einer gefälschten Webseite heruntergeladen. Dieses Skript installiert dann den Infostahler. Anschließend wird ein weiteres Skript geladen, das in der Windows-Registry einen Schlüssel anlegt, um sicherzustellen, dass die Malware bei jedem Systemstart automatisch ausgeführt wird. Auf diese Weise bleibt die Schadsoftware dauerhaft aktiv und kann permanent Daten absaugen.
Obwohl Windows-Nutzer bisher am häufigsten Ziel solcher Angriffe sind, warnen Sicherheitsexperten auch vor Varianten, bei denen macOS- und Linux-Nutzer nicht ausgeschlossen werden. Die Ausbreitung solcher Malware über verschiedene Betriebssysteme zeigt, dass Cyberkriminelle ihre Methoden ständig weiterentwickeln und anpassen, um möglichst viele Opfer zu erreichen. Die Nutzung von TikTok für diese Angriffe ist keine einmalige Erscheinung. Bereits 2022 wurde bei einem beliebten TikTok-Challenge namens „Invisible Challenge“ Malware namens WASP verbreitet, die Passwörter, Discord-Konten und Kryptowährungsdaten ausspäht. Diese Fälle verdeutlichen eine gefährliche Entwicklung: Social-Media-Plattformen werden zunehmend als Vehikel für Cyberangriffe verwendet.
Die enorme Reichweite, die viral gehende Videos erzeugen können, nutzen Angreifer gezielt, um ihre Schadsoftware weit zu streuen. Das Wissen um PowerShell-Befehle und deren Ausführung durch den Endnutzer ist eine entscheidende Ebene bei den ClickFix-Attacken. PowerShell, eine mächtige Shell und Skriptsprache von Microsoft, bietet eine Fülle an Systemkontrollmöglichkeiten. In falschen Händen ermöglicht sie Angreifern, nahezu jede Systemaktivität mit bösartigen Skripten zu automatisieren. Angreifer setzen auf die Verlockung des schnellen Nutzens oder der Lösung eines Problems, damit Opfer unbedacht Befehle eingeben.
Die menschliche Komponente bleibt der Schwachpunkt in der Kette der IT-Sicherheit. Die Tatsache, dass viele Nutzer die angebotenen PowerShell-Befehle ausführen, zeigt mangelndes Bewusstsein oder fehlende Vorsicht. Cyberkriminelle setzen deshalb bei ClickFix-Attacken auf manipulative Techniken der sozialen Ingenieurskunst, die von Opfern verlangen, aktiv zu werden, was für das erfolgreiche Eindringen der Schadsoftware entscheidend ist. Für Nutzer gibt es einige wichtige Maßnahmen, um sich vor solchen Bedrohungen zu schützen. Erstens sollten keine unbekannten oder nicht verifizierten Scripts oder Befehle ausgeführt werden, selbst wenn sie überzeugend präsentiert werden.
Es ist ratsam, Prompts und Anweisungen in Textform genau zu hinterfragen und im Zweifelsfall Experten oder vertrauenswürdige Quellen zu konsultieren. Zweitens sind regelmäßige Updates und Patches des Betriebssystems und der Sicherheitslösungen elementar, um potenzielle Schwachstellen zu minimieren. Zusätzlich können Antimalware-Programme und speziell auf Social-Engineering ausgelegte Sicherheitslösungen helfen, solche Attacken frühzeitig zu erkennen und zu blockieren. Unternehmen und Privatnutzer sollten zudem ein Bewusstsein für typische Manipulationstechniken entwickeln und sich im Umgang mit unerwarteten Anfragen schulen. TikTok-Nutzer sollten kritisch bleiben und Links oder Aufforderungen sorgfältig prüfen, bevor sie irgendwelche Befehle ausführen.
Die Verbreitung von Infostahlern über TikTok zeigt, wie dynamisch und anpassungsfähig die Bedrohungslage im Cyberraum ist. Social-Media-Plattformen sind heute nicht nur ein Schauplatz für kreative Inhalte und Trends, sondern auch für potenziell gefährliche Angriffe, die weitreichende Folgen für Datenschutz und digitale Sicherheit haben können. Es ist deshalb unerlässlich, dass Anwender und Unternehmen gleichermaßen wachsam bleiben und sich regelmäßig über neue Sicherheitstrends und Angriffsmethoden informieren. Abschließend kann festgehalten werden, dass ClickFix-Attacken ein Paradebeispiel dafür sind, wie technische Möglichkeiten wie PowerShell missbraucht werden können, um das Vertrauen von Nutzern gezielt auszunutzen. Die Kombination aus sozialer Manipulation und technischer Raffinesse macht diese Angriffe besonders effektiv und gefährlich.
Umso wichtiger ist es, sich über solche Strategien zu informieren und den kritischen Umgang mit Anleitungen aus dem Internet zu pflegen. Nur so lässt sich der Schaden, der durch Infostahler wie Vidar und StealC verursacht wird, begrenzen.
