Microsoft: Warnung vor ClickFix-Angriffen, die DNS-Lookups ausnutzen

Montag, 16.02.2026

Angreifer nutzen DNS-Anfragen, um eine RAT namens ModeloRAT an bestimmte Benutzer zu übertragen.

Microsoft hat Benutzer gewarnt, dass Angreifer eine neue Variante der ClickFix-Technik nutzen, um Malware zu verbreiten.

Die ClickFix-Angriffsmethode wurde im vergangenen Jahr sowohl von Cyberkriminellen als auch von staatlich geförderten Hackergruppen zunehmend eingesetzt.

Bei diesem Angriff zeigen Angreifer eine gefälschte Fehlermeldung auf einer kompromittierten oder betrügerischen Webseite an. Die Meldung weist das Ziel an, das Problem durch Drücken bestimmter Tasten und anschließende Ausführung weiterer Schritte (z. B. Ausführen eines Befehls) zu beheben. Durch Befolgen der Anweisungen des Angreifers gewährt der Benutzer unwissentlich erweiterte Berechtigungen, lädt Malware herunter oder führt vom Angreifer bereitgestellte Skripte aus.

Bei einem kürzlich von Microsoft beobachteten ClickFix-Angriff forderte der Angreifer die Opfer auf, einen Befehl auszuführen, der eine benutzerdefinierte DNS-Abfrage durchführt.

Der erste Befehl wird über cmd.exe ausgeführt und führt eine DNS-Abfrage bei einem fest codierten externen DNS-Server statt beim Standard-Resolver des Systems durch. Die Ausgabe wird gefiltert, um die DNS-Antwort "Name:" zu extrahieren, die als Payload der zweiten Stufe ausgeführt wird.

Diese Taktik ermöglicht es dem Angreifer, seine Infrastruktur zu erweitern und die Ausführung der Payload der zweiten Stufe zu validieren, wodurch sich seine Chancen erhöhen, der Erkennung zu entgehen, indem er bösartigen Datenverkehr in den regulären Netzwerkverkehr einbindet.

Die Payload der zweiten Stufe lädt ein bösartiges Python-Skript herunter, das für die Aufklärung entwickelt wurde, und führt es aus. Anschließend wird die endgültige Payload abgelegt und ein Persistenzmechanismus eingesetzt.

Die endgültige Payload ist ein Fernzugriffstrojaner namens ModeloRAT, mit dem Angreifer Informationen über das kompromittierte System sammeln und andere Payloads ausführen können.

Während Microsoft keine Informationen zu den Angriffen veröffentlicht hat, berichtete Huntress kürzlich, dass ein als KongTuke verfolgter Bedrohungsakteur ModeloRAT über eine ClickFix-Variante namens CrashFix eingesetzt habe. Die Kampagne richtete sich gegen Unternehmensumgebungen.

Artikel

software
SyncBreeze

SyncBreeze ist eine schnelle, leistungsstarke und zuverlässige Lösung zur Dateisynchronisierung
hardware
Was ist SMART (Self-Monitoring Analysis and Reporting Technology)?

SMART wurde von IBM entwickelt und ist ein intelligentes System, das den Zustand Ihrer Festplatte in Echtzeit überwacht, Probleme frühzeitig erkennt und Ihre Daten vor dem Verlust schützt.
windows 11
So führen Sie die Problembehandlung für Windows 11-Update aus

Wenn Sie Probleme mit dem Windows Update-Tool auf Ihrem Computer haben, sollten Sie als Erstes die Windows Update-Problembehandlung ausführen, um das Problem zu lösen.
windows 10
Packet Monitor ist ein kostenloses integriertes Netzwerk-Diagnosetool für Windows 10

Netzwerkprobleme können schwer zu erkennen und einzukreisen sein.
windows all
Unterschied zwischen x64 und x86

Technisch gesehen bezieht sich x86 auf eine Familie von Prozessoren und den Befehlssatz.
windows 10
Microsofts nächstes Windows 10-Update Redstone 5

Microsoft arbeitet bereits am nächsten großen Update für Windows 10.
software
Microsoft PC Manager für Windows 10 und 11

Sie können sich den Microsoft PC Manager wie ein benutzerfreundliches Dashboard vorstellen, das Zugriff auf verschiedene Optionen bietet.
software
Microsofts Fix it - kostenlose Reparatur-Tools

Das portable Fix it-Tool kann Probleme, die Windows verursacht, lösen.
office
So beheben Sie den Fehler mit den leeren E-Mails in Outlook

Microsoft stellt ein Outlook-Update zur Verfügung, um einen seltsamen Fehler für Microsoft 365-Benutzer zu beheben.
windows 10
So konvertieren Sie MBR in GPT ohne Datenverlust unter Windows 10

Da Windows 10 kein unterstütztes Betriebssystem mehr ist, müssen Sie, wenn Sie ein Upgrade auf Windows 11 planen, sicherstellen, dass Ihr Computer für die Verwendung der UEFI und GPT konfiguriert ist.
hardware
Voice over IP - Telefonieren im LAN und Internet

Unter Voice over IP versteht man das Telefonieren über Computernetzwerke mit Hilfe des Internet Protokolls (IP). Je nachdem in welchem Netzwerk die Telefonie stattfindet, spricht man von IP Telefonie, Internet Telefonie oder auch von LAN Telefonie.
windows all
Windows 11 erstellt viele leere Ordner in einem System32-Verzeichnis

Windows 11 erstellt viele leere Ordner im System32-Verzeichnis, genau wie Windows 10.
hardware
Wie funktioniert ein Computer?

Ein Computer wird auch als Rechner oder auch als elektronische DVA (Datenverarbeitungsanlage) bezeichnet.
windows 10
Tricks zur Windows-Eingabeaufforderung die Sie vermutlich noch nicht kennen

Diese Tricks zeigen Ihnen, wie Sie in der Eingabeaufforderung Aufgaben schneller oder bequemer durchführen können.
windows 10
So beheben Sie den BSoD-Fehler KMODE_EXCEPTION_NOT_HANDLED

Die BSoD-Fehlermeldung "KMODE_EXCEPTION_NOT_HANDLED" tritt häufig nach der Installation neuer Hardware oder Software auf.