Fake-CAPTCHA-Angriff tarnt Infostealer als harmlose Prüfung
Eine neue, raffinierte Malware-Kampagne nutzt gefälschte "Ich bin kein Roboter"-Tests, um Krypto-Wallets und Browser-Daten zu stehlen. Experten warnen vor der ausgeklügelten Tarnung.
Datum
22. Februar 2026
Key Takeaways:
- Eine neue ClickFix-Kampagne nutzt gefälschte CAPTCHA-Prüfungen als Köder.
- Die Malware stiehlt gezielt Daten aus Krypto-Wallets wie MetaMask, Exodus und Trust Wallet.
- Sie tarnt sich durch Dateilosigkeit im Arbeitsspeicher und ist für herkömmliche Scans schwer erkennbar.
- Angreifer nutzen legitime Windows-Tools wie PowerShell für die Infektion.
Vertrautes Sicherheitsfeature wird zur Falle
Ein neuer, tückischer Angriff zielt darauf ab, das Vertrauen der Nutzer in ein alltägliches Sicherheitsfeature auszunutzen: den CAPTCHA-Test. Wie die Threat-Hunting-Experten von CyberProof aufdeckten, verwenden Hacker kompromittierte Websites, auf denen sie Besuchern einen gefälschten "Ich bin kein Roboter"-Check präsentieren.
Die meisten Nutzer klicken arglos auf diese vertrauten Boxen – genau darauf spekulieren die Angreifer. Die Kampagne ist eine weiterentwickelte Version der ClickFix-Angriffe, die Anfang 2025 bereits Restaurantbuchungsseiten ins Visier nahmen.
So läuft der mehrstufige Angriff ab
Der Infektionsprozess ist mehrstufig und geschickt getarnt:
- Der Köder: Ein Nutzer landet auf einer kompromittierten Seite und wird aufgefordert, ein CAPTCHA zu lösen.
- Die Ausspähung: Bereits bei der Interaktion versucht die Seite, über den Befehl
CClipDataObject::GetDataauf die Zwischenablage des Nutzers zuzugreifen. - Der Download: Im Hintergrund wird das legitime Windows-Tool PowerShell aktiviert. Dieses lädt die Schadsoftware von einer hacker-kontrollierten Adresse (z.B.
91.92.240.219) herunter.
Tarnkappen-Malware: Unsichtbar im Arbeitsspeicher
Um die Entdeckung zu erschweren, setzen die Angreifer auf fileless Malware-Techniken. Mithilfe des Tools Donut erzeugen sie sogenannten Shellcode (hier als cptch.bin-Datei), der direkt im Arbeitsspeicher (RAM) des Computers ausgeführt wird.
Durch die Nutzung von Funktionen wie
VirtualAllocundCreateThreadnistet sich die Malware im Speicher ein und ist für viele Security-Scans, die nur die Festplatte überprüfen, nahezu unsichtbar.
Das stehlen die Angreifer
Sobald die Malware sichergestellt hat, dass sie nicht in einer Analyse-Umgebung (VM) läuft, beginnt der systematische Diebstahl. Laut CyberProof zielt sie gezielt ab auf:
- Kryptowährungen: Sie durchsucht den System nach Wallets wie MetaMask, Exodus und Trust Wallet.
- Browser-Daten: Gespeicherte Passwörter und Logins aus über 25 Browsern, inklusive Chrome, Edge, Opera GX und sogar dem Tor Browser.
- Weitere Zugänge: Steam-Accounts, VPN-Konfigurationen (z.B. NordVPN) und FTP-Zugangsdaten für Webseiten.
Fehler der Hacker und anhaltende Bedrohung
Trotz der ausgeklügelten Tarnung machten die Angreifer einen verräterischen Fehler: Sie verwendeten in ihrem Code die Variable $finalPayload. Dieser Name war so auffällig, dass Microsoft Defender die Aktivität als Behavior:Win32/SuspClickFix.C erkannte.
Dennoch ist die Kampagne aktiv. Die Schadsoftware wird von verschiedenen IP-Adressen wie 94.154.35.115 gehostet. Um Persistenz zu erreichen, manipuliert sie die RunMRU-Registry-Keys, sodass sie bei jedem Systemstart neu geladen wird.
So können Sie sich schützen
Der Fall zeigt, dass selbst die vertrautesten Sicherheitsabfragen missbraucht werden können. Bleiben Sie wachsam:
- Skepsis bei unerwarteten CAPTCHAs: Seien Sie misstrauisch, wenn auf einer sonst unauffälligen Seite plötzlich ein Verifikations-Check erscheint.
- Quellen prüfen: Besuchen Sie nur vertrauenswürdige Websites.
- Security-Software aktuell halten: Ein moderner Virenschutz erkennt auch verhaltensbasierte Bedrohungen.
- Für Krypto-Nutzer: Bewahren Sie große Beträge nach Möglichkeit in Hardware-Wallets oder Cold Storage auf, die nicht mit dem Internet verbunden sind.
Die Gefahr lauert in der vermeintlichen Normalität. In der digitalen Welt ist gesundes Misstrauen oft der beste Schutz.