Diese Seiten fordern Nutzer auf, auf „Verify“ (Bestätigen) zu klicken. Im Hintergrund wird dabei ein bösartiger PowerShell-Befehl in die Zwischenablage kopiert. Anschließend wird der Nutzer in drei Schritten dazu verleitet, diesen Befehl auszuführen:

1. Win + R drücken, um den Windows-„Ausführen“-Dialog zu öffnen.
2. Strg + V, um den kopierten Befehl einzufügen.
3. Enter, um den Befehl auszuführen.

Dieser PowerShell-Befehl lädt dann im Hintergrund schädliche Dateien oder Skripte von einer vom Angreifer kontrollierten Cloudflare-Domain herunter und führt sie aus – oft Malware oder Backdoors, die dazu dienen Passwörter oder andere sensible Daten zu klauen.

Besonders gefährlich: Die Angreifer nutzen legitime Cloudflare-Infrastruktur, was die Erkennung und Blockierung erschwert. Während technisch versierte Nutzer den Trick möglicherweise durchschauen, sind weniger erfahrene Anwender besonders gefährdet – viele wissen nicht, was PowerShell ist oder wie gefährlich solche Befehle sein können.

Was ist zu tun?

Schulen Sie Ihr Team und befolgen Sie niemals Anweisungen, die das Kopieren und Ausführen von Texten im Zusammenhang mit CAPTCHA-Seiten beinhalten.

Im Zweifel fragen Sie lieber einmal mehr bei Ihrem IT-Verantwortlichen oder Ihrem IT-Dienstleister nach – Sicherheit geht vor!

Weitere Details zu dieser Angriffsmethode findet ihr im ausführlichen Bericht von Krebs on Security.