iClicker-Website bei ClickFix-Angriff mit gefälschtem CAPTCHA gehackt

Die Website der beliebten Studenten-Engagement-Plattform iClicker wurde durch einen ClickFix-Angriff kompromittiert. Ein gefälschter „Ich bin kein Roboter“-Check verleitete Nutzer zur Installation von Malware. Erfahren Sie, wer betroffen war und wie Sie sich schützen können.

Ein an vielen Universitäten eingesetztes digitales Klassenzimmer namens iClicker wurde kürzlich von Hackern angegriffen. Dieses Tool von Macmillan hilft Lehrkräften, die Anwesenheit zu erfassen und Schülern im Unterricht Fragen zu stellen. Millionen von Studierenden und Tausende von Lehrkräften in den USA, darunter an der University of Michigan und der University of Florida, nutzen iClicker.

Laut der Warnung des Safe Computing Teams der University of Michigan wurde zwischen dem 12. und 16. April 2025 die iClicker-Website kompromittiert. Den Besuchern der Website wurde ein gefälschtes CAPTCHA angezeigt und sie wurden aufgefordert, auf „Ich bin kein Roboter“ zu klicken.

Klickte ein Windows-Nutzer auf diesen gefälschten Haken, wurde ein versteckter PowerShell-Befehl auf sein Gerät kopiert. Er wurde aufgefordert, ein spezielles Fenster auf seinem Computer zu öffnen (durch gleichzeitiges Drücken der Windows-Taste und des Buchstabens „R“), diesen Befehl einzufügen (durch Drücken von Strg und „V“) und anschließend die Eingabetaste zu drücken. Dadurch wurde der versteckte Befehl ausgeführt.

Dieser als ClickFix-Angriff bekannte Trick dient dazu, Benutzer zum Herunterladen von Malware zu verleiten. Ein Reddit-Nutzer testete diesen Befehl auf Any.Run und stellte fest, dass er je nach Website-Besucher eine Verbindung zu einem Server im Internet herstellte, um weitere Anweisungen herunterzuladen. Handelte es sich um eine reale Person, die einen normalen Computer nutzte, lädten die Anweisungen Malware herunter, die dem Angreifer die vollständige Kontrolle über das Gerät geben könnte.

Diese Schadsoftware wurde wahrscheinlich entwickelt, um persönliche Informationen wie Benutzernamen, Passwörter, Kreditkartendaten und sogar auf dem Computer gespeicherte Kryptowährungs-Wallet-Informationen zu stehlen.

Handelte es sich bei dem Besucher um ein System, das von Sicherheitsexperten zur Analyse von Schadsoftware verwendet wird, würde der versteckte Befehl stattdessen ein harmloses Programm von Microsoft herunterladen, sodass die Angreifer einer Erkennung entgehen könnten.

In seinem Sicherheitsbulletin bestätigte iClicker, dass sein Hauptsystem und seine Benutzerinformationen sicher seien, und erklärte, dass ein Drittanbieter vor der Anmeldung der Benutzer eine gefälschte Sicherheitsüberprüfung auf seiner Website durchgeführt habe.

Wie Hackread.com bereits berichtete, ist ClickFix in der Cybersicherheitswelt zu einem wachsenden Problem geworden. Im März 2024 berichteten wir über die zunehmende Nutzung von ClickFix-Angriffen durch Cybercrime-Gruppen wie TA571 und ClearFake. Später, im Oktober 2024, beobachtete das Sicherheitsunternehmen Sekoia weitere ClickFix-Angriffe, bei denen gefälschte Google Meet-, Chrome- und Facebook-Seiten zur Verbreitung von Malware genutzt wurden.

Erst kürzlich, im April 2025, berichtete Hackread.com, dass staatlich unterstützte Hackergruppen aus Ländern wie Nordkorea, Iran und Russland diese Methode bei ihren Spionageoperationen verwendeten, und veröffentlichte sogar einen ausführlichen Blogbeitrag darüber, wie man sich vor ClickFix-Angriffen schützen kann.

iClicker empfiehlt allen, die zwischen dem 12. und 16. April die Website besucht und auf den gefälschten Sicherheitscheck geklickt haben, sofort alle auf ihrem Computer gespeicherten Passwörter, einschließlich des iClicker-Passworts, zu ändern und einen Passwort-Manager zu verwenden, um die Kontosicherheit zu maximieren. Nutzer, die nur die mobile iClicker-App nutzten oder den gefälschten Sicherheitscheck nicht sahen, waren vor diesem Angriff sicher.

Debbie Gordon , CEO und Gründerin von Cloud Range, kommentierte die Entwicklung wie folgt: „Dieser Vorfall zeigt, wie leicht Angreifer eine einfache Benutzerinteraktion, etwa das Anklicken eines CAPTCHA, in eine vollständige Kompromittierung verwandeln können.“

Die eigentliche Frage ist: Wie schnell kann Ihr Team die Gefahr erkennen und eindämmen? Das ist der Kern der Incident Response-Bereitschaft. Simulationsbasiertes Training vermittelt den Verteidigern das nötige Muskelgedächtnis, um Warnsignale zu erkennen, effektiv zu untersuchen und Eindämmungsmaßnahmen in Echtzeit zu koordinieren, bevor aus kleinen Versäumnissen große Sicherheitslücken werden.