Die CAPTCHA-Falle: Wie Klicks auf "Ich bin kein Roboter" deinen PC infizieren

Wir alle kennen das: Man will schnell auf eine Webseite zugreifen und plötzlich blockiert ein lästiges CAPTCHA den Weg. Wir klicken mittlerweile fast im Schlaf auf "Ich bin kein Roboter" oder versuchen, Ampeln auf unscharfen Bildern zu markieren.

Genau diese routinierte Genervtheit nutzen Angreifer jetzt schamlos mit einer neuen Methode namens ClickFix aus.

Mit täuschend echten Verifizierungsseiten verwandeln sie harmlose Sicherheitschecks in tödliche Fallen für unsere Daten – und das Schlimmste daran ist, dass wir die Malware dabei völlig freiwillig selbst installieren.

Der Betrug mit dem falschen Roboter-Check

Sicherheitsexperten schlagen aktuell Alarm wegen einer massiven Welle von Angriffen, die gefälschte CAPTCHA-Seiten oder erfundene Browser-Fehlermeldungen verwenden. Wenn wir auf einer kompromittierten Webseite landen, erscheint oft eine exakte visuelle Kopie der bekannten Cloudflare- oder Google-Checks.

Doch anstatt Bilder anzuklicken, fordert uns die Seite plötzlich auf, eine Tastenkombination zu drücken oder einen sogenannten "Fix-Code" in unsere Windows-Konsole zu kopieren. Angeblich, um unsere menschliche Identität zu beweisen oder einen Darstellungsfehler des Browsers zu beheben.

Ein konkretes Beispiel: Früher mussten Hacker uns dazu bringen, eine infizierte EXE-Datei herunterzuladen und manuell zu starten. Heute erscheint einfach ein Pop-up, das sagt: "Ihr Browser hat einen Fehler. Drücken Sie Windows-Taste + R, fügen Sie den Fix-Code ein und drücken Sie Enter".

ClickFix und Pastejacking: Die technische Anatomie

Hier passiert ein genialer, aber extrem fieser technischer Schachzug, den IT-Experten auch Pastejacking nennen.

• Die Zwischenspeicher-Manipulation: Sobald wir auf den gefälschten "Verifizieren"-Button klicken, platziert ein unsichtbares Skript auf der Webseite automatisch einen bösartigen Code in unserer Windows-Zwischenablage.
• Die Selbst-Ausführung: Durch die Aufforderung, den Ausführen-Dialog (Win+R) zu nutzen und den Code einzufügen, übergeben wir die direkte Kontrolle an unser Betriebssystem.
• PowerShell als Waffe: Was wir da unwissentlich einfügen, ist in der Regel ein verschleierter PowerShell-Code.

Dieser Code sieht in etwa so aus:

Da wir die Konsole selbst öffnen und den Befehl abfeuern, hebeln wir sämtliche Schutzmechanismen wie Google Safe Browsing eigenhändig aus. Für unsere Sicherheitssoftware sieht es so aus, als hätte der legitime Nutzer an der Tastatur ganz bewusst eine Systemaktion gestartet.

Der direkte Zugriff auf dein digitales Leben

Die Konsequenzen dieses kleinen Copy-Paste-Fehlers sind massiv. Das Skript lädt im Hintergrund blitzschnell bösartige Payloads wie den Lumma Stealer oder andere RATs (Remote Access Trojans) herunter. Diese Software hat es extrem gezielt auf unsere privatesten Daten abgesehen. Geklaut werden im Bruchteil einer Sekunde:

• im Browser gespeicherte Logins und Passwörter
• aktive Session-Cookies (wodurch Hacker selbst Zwei-Faktor-Authentifizierungen umgehen können)
• sensible Krypto-Wallets

Das Perfide daran ist, dass wir während des Diebstahls absolut nichts bemerken, da der eigentliche Ladevorgang lautlos im Hintergrund der Windows-Prozesse abläuft.

Verification Fatigue als Waffe

Wir finden diese Entwicklung extrem besorgniserregend, weil sie psychologisch so klug aufgebaut ist. Das Phänomen nennt sich Verification Fatigue: Wir sind durch die ständige Gängelung mit Pop-ups und Sicherheitsabfragen im Netz so abgestumpft, dass wir Anweisungen auf dem Bildschirm nur noch blind folgen, um endlich an unsere Inhalte zu kommen.

Dass eine simple Web-Verifizierung jemals erfordern würde, das Windows-Terminal zu öffnen und Code einzufügen, sollte eigentlich alle Alarmglocken schrillen lassen. Doch in der Hektik des Alltags passiert genau das viel zu oft. Wir tauschen unsere digitale Sicherheit gegen den kurzen Komfort ein, ein Problem schnell wegklicken zu wollen.

Kurz & Knapp

Für Gamer, Software-Tester und Krypto-Fans ist bei diesen ClickFix-Angriffen aktuell die höchste Vorsicht geboten. Die Angreifer platzieren diese Fake-CAPTCHAs besonders gerne auf Portalen für Spiele-Mods, vermeintlich gecrackter Software oder in gut gemachten Phishing-Mails.

Wer leichtfertig Systembefehle über das Windows-Terminal (oder PowerShell) ausführt, überreicht Angreifern direkt den Schlüssel zu seinen digitalen Wallets und Entwickler-Accounts.

Unser Rat: Wenn dich eine Website jemals bittet, etwas mit "Win+R" auszuführen – schließe den Tab sofort. Keine seriöse Plattform der Welt nutzt diesen Weg für einen Login-Check.

CAPTCHAs sollen uns eigentlich vor bösartigen Skripten schützen, doch die raffinierte ClickFix-Taktik dreht den Spieß um und macht uns selbst zum Ausführungswerkzeug der Hacker.