FileFix: Wie eine neue Phishing-Masche den Windows-Explorer als Waffe nutzt

Eine vertraute Oberfläche, ein einziger Tastendruck, und die Schadsoftware ist auf dem Rechner. Unter dem Namen FileFix verbreitet sich eine Angriffsmethode, die genau das ausnutzt, was Mitarbeitende täglich bedenkenlos tun: den Windows-Explorer öffnen und etwas einfügen. Sicherheitsforscher beobachten, dass aus dem ursprünglichen Machbarkeitsnachweis inzwischen echte, ausgefeilte Kampagnen geworden sind. Höchste Zeit, dass Geschäftsführung und IT-Verantwortliche im Mittelstand die Masche kennen.

Was ist FileFix?

FileFix ist eine Weiterentwicklung der bereits bekannten Social-Engineering-Taktik ClickFix. Beide Verfahren haben dasselbe Ziel: Sie bringen Nutzerinnen und Nutzer dazu, einen schädlichen Befehl selbst auszuführen, freiwillig und ohne dass eine klassische Sicherheitswarnung erscheint.

Der Unterschied liegt im Werkzeug. Bei ClickFix wird das Opfer dazu gebracht, einen Befehl in das Windows-Dialogfeld „Ausführen“ einzufügen. FileFix setzt stattdessen auf die Adressleiste des Windows-Explorers. Entdeckt und beschrieben wurde die Technik vom Red-Team-Forscher „mr.d0x“; der Sicherheitsanbieter Check Point warnte früh davor, dass Angreifer die Methode bereits einsetzen. Der Trick ist deshalb so wirksam, weil der Datei-Explorer ein alltägliches, vertrauenswürdiges Programm ist und seine Nutzung keinen Verdacht erregt.

Wie ein FileFix-Angriff abläuft

Der Ablauf folgt einem nachvollziehbaren Muster:

1. Köder per Phishing: Eine E-Mail lockt das Opfer auf eine gefälschte Website, die einen bekannten Onlinedienst nachahmt. In einer aktuellen, von der Acronis Threat Research Unit dokumentierten Kampagne gab sich die Seite als Support- bzw. Sperrhinweis von Meta (Facebook) aus. 2. Versteckte Vorbereitung: Im Hintergrund kopiert ein Skript auf der Website unbemerkt einen getarnten PowerShell-Befehl in die Zwischenablage. 3. Die Täuschung: Die Seite fordert auf, den Datei-Explorer zu öffnen und einen vermeintlichen „Dateipfad“ in die Adressleiste einzufügen, angeblich, um auf ein Dokument zuzugreifen. 4. Die Ausführung: Was wie ein harmloser Pfad aussieht, ist in Wahrheit ein PowerShell-Befehl. Mit der Eingabetaste startet das Opfer den Download und die Ausführung der Schadsoftware selbst.

Besonders perfide: In der von Acronis analysierten Welle versteckten die Angreifer den Nachlade-Code per Steganografie in einer scheinbar harmlosen JPG-Bilddatei, um Schutzsoftware zu täuschen. Am Ende der Kette stand der Infostealer StealC, der Browser-Daten, Krypto-Wallets, Messenger-Inhalte und Cloud-Zugangsdaten abgreifen und weitere Schadsoftware nachladen kann.

Warum FileFix für den Mittelstand gefährlich ist

FileFix umgeht keine Technik, es umgeht den Menschen. Da das Opfer den Befehl selbst eingibt, greifen viele klassische Schutzmechanismen nicht zuverlässig. Hinzu kommt: Die Masche wirkt überzeugender als ClickFix, weil nahezu alle Beschäftigten mit Datei- und Upload-Fenstern vertraut sind, mit einer Kommandozeile dagegen nicht.

Die Bedrohung wächst spürbar. Sicherheitsforscher berichten von einem starken Anstieg solcher „*Fix“-Angriffe; die Erkennungsraten für ClickFix-Varianten stiegen zuletzt deutlich an. Auch Ransomware-Gruppen nutzen die Methode bereits: Die Interlock-Gruppe setzte FileFix ein, um einen Fernzugriffs-Trojaner zu installieren. Für ein KMU bedeutet ein erfolgreicher Angriff schnell gestohlene Microsoft-365-Zugänge, Datenabfluss oder eine Verschlüsselung ganzer Laufwerke.

So schützen Sie Ihr Unternehmen

• Sensibilisierung: Schulen Sie Mitarbeitende mit einer klaren Regel: Niemals von einer Website kopierte Befehle in Systemdialoge, das Ausführen-Fenster oder die Explorer-Adressleiste einfügen.
• Technische Abwehr: Lassen Sie den Start von PowerShell, CMD, MSHTA oder MSIEXEC aus dem Browser heraus blockieren und ungewöhnliche Prozessketten überwachen.
• Identitäten absichern: Eine konsequente Mehr-Faktor-Anmeldung begrenzt den Schaden gestohlener Zugangsdaten.
• E-Mail-Filter und Updates: Da FileFix mit Phishing beginnt, sind gepflegte Spam- und Link-Filter sowie aktuelle Systeme die erste Verteidigungslinie.

Mehr Begriffe rund um Angriffsmethoden erklären wir verständlich in unserem Cybersecurity-Lexikon.

Häufige Fragen

Ist FileFix dasselbe wie ClickFix?

Nein. Beide gehören zur selben Angriffsfamilie und verfolgen dasselbe Ziel, doch FileFix nutzt die Adressleiste des Windows-Explorers statt des „Ausführen“-Dialogs. Das wirkt für viele Nutzer harmloser und ist daher gefährlicher.

Schützt ein Virenscanner allein vor FileFix?

Nur bedingt. Weil das Opfer den Befehl selbst ausführt und Angreifer Schadcode etwa in Bilddateien verstecken, sind zusätzlich Verhaltensüberwachung, Browser-Härtung und geschulte Mitarbeitende nötig.

Woran erkenne ich einen FileFix-Versuch?

Stutzig machen sollte jede Website, die Sie auffordert, den Datei-Explorer zu öffnen und einen „Pfad“ einzufügen, um einen angeblichen Fehler zu beheben. Seriöse Dienste verlangen so etwas nie.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH hilft kleinen und mittleren Unternehmen im Raum Karlsruhe, sich gegen Social-Engineering-Angriffe wie FileFix zu wappnen. Wir härten Ihre Microsoft-365-Umgebung ab, richten eine saubere Mehr-Faktor-Anmeldung ein und sorgen über unsere Managed Services für laufende Überwachung und schnelle Reaktion. Auch bei der sicheren Konfiguration Ihrer Arbeitsplätze und der Schulung Ihrer Mitarbeitenden stehen wir an Ihrer Seite, etwa rund um Microsoft 365. Sie möchten wissen, wie gut Ihr Unternehmen aufgestellt ist? Vereinbaren Sie ein unverbindliches Erstgespräch.

Quellen

• BleepingComputer: New FileFix attack uses steganography to drop StealC malware
• Acronis Threat Research Unit: FileFix in the wild
• Kaspersky: Ist FileFix eine Variante von ClickFix?