Wat is een ClickFix-aanval en hoe werkt het precies?

Informatic Digital » Middelen » Wat is een ClickFix-aanval en hoe werkt het precies?

ClickFix-aanvallen zijn een van de meest modieuze social engineering-trucs geworden In de wereld van cybercriminaliteit: campagnes die onschuldig lijken, met valse browserwaarschuwingen of beveiligingscontroles, maar die er uiteindelijk voor zorgen dat de gebruiker schadelijke code op zijn computer uitvoert, bijna zonder dat hij het doorheeft.

Verre van een technische curiositeit, is ClickFix al gezien in echte campagnes in Latijns-Amerika, Europa en andere regio'sdoor infostealers, remote access trojans (RAT's) en complexe loaders zoals GHOSTPULSE of NetSupport RAT te verspreiden en zelfs misbruik te maken van TikTok-video's of YouTube-tutorials om duizenden slachtoffers te bereiken.

Wat is precies een ClickFix-aanval?

ClickFix is ​​een relatief recente social engineering-techniek (gepopulariseerd sinds 2024) die gebaseerd is op iets heel eenvoudigs: de gebruiker overtuigen om opdrachten te kopiëren en uit te voeren op zijn eigen systeem om een ​​vermeend technisch probleem te 'verhelpen' of een verificatie uit te voeren.

In plaats van het schadelijke programma rechtstreeks te downloaden, injecteert de schadelijke website een script of opdracht in het klembord. (bijvoorbeeld PowerShell in Windows of MSHTA-opdrachten) en toont vervolgens stapsgewijze instructies aan het slachtoffer om deze te plakken en uit te voeren in een console, het venster Uitvoeren of de terminal.

Deze tactiek maakt gebruik van wat veel onderzoekers ‘verificatiemoeheid’ noemenGebruikers zijn gewend om snel op knoppen als 'Ik ben mens', 'Los het op' of 'Nu updaten' te klikken, zonder de boodschap al te veel te analyseren. Daardoor zijn ze erg kwetsbaar als het scherm lijkt op een Cloudflare-verificatie, een Google CAPTCHA of een Google Meet- of Zoom-fout.

De naam ClickFix komt precies van de knoppen die normaal gesproken op deze lokmiddelen voorkomenmet teksten als "Los het op", "Hoe los ik het op", "Corrigeer het nu" of "Los het probleem op", die de indruk wekken dat de gebruiker een snelle oplossing toepast, terwijl hij in werkelijkheid een script kopieert en start dat malware downloadt.

Hoe een ClickFix-aanval stap voor stap werkt

Hoewel er veel variaties zijn, volgen de meeste ClickFix-aanvallen een vaste volgorde. die gecompromitteerde websites, schadelijke JavaScript-scripts en de 'gedwongen' tussenkomst van de gebruiker om de code uit te voeren, combineert.

De eerste stap is meestal het bezoeken van een legitieme website die is gehackt of een direct schadelijke pagina., waar het slachtoffer via een link in een phishingmail, gemanipuleerde zoekmachineresultaten (kwaadaardige SEO), kwaadaardige advertenties of zelfs via een TikTok- of YouTube-video met zogenaamde trucs om betaalde software te activeren, terechtkomt.

Op die pagina wordt een valse waarschuwing of verificatie weergegeven die een technisch probleem simuleert.: fout bij het laden van een document, mislukte browserupdate, problemen met de microfoon of camera in Google Meet/Zoom of een zogenaamde anti-botcontrole zoals Cloudflare of reCAPTCHA waardoor u niet verder kunt tenzij er iets is "opgelost".

Zodra de gebruiker op de knop 'correct' drukt of het vakje 'ik ben een mens' aanvinktMet een JavaScript-script wordt automatisch een schadelijke opdracht in het klembord geplaatst. Meestal gaat het hierbij om een ​​versleutelde PowerShell- of MSHTA-opdracht die vervolgens een ander stukje malware van een externe server downloadt.

Op de website staat een gedetailleerde handleiding voor het slachtoffer om de opdracht uit te voeren., bijvoorbeeld:

• Klik op de knop ‘Repareer het’ om ‘de oplossingscode te kopiëren’.
• Druk op de Win+R-toetsen om het venster Uitvoeren te openen op Windows.
• Druk op Ctrl+V om te plakken wat er op het klembord staat (het kwaadaardige commando).
• Druk op Enter om het probleem op te lossen of door te gaan met de verificatie.

In meer geavanceerde varianten wordt de truc gedaan met Win+X of met de browserconsoleDe gebruiker krijgt de opdracht om via het snelmenu (Win+X) een PowerShell-terminal te openen met beheerdersrechten, of om de browserconsole (F12 of Ctrl+Shift+I) te gebruiken en daar een blok JavaScript-code of een 'verificatie'-functie te plakken.

Nadat de opdracht is uitgevoerd, ontwikkelt de rest van de infectie zich op de achtergrond.Het script downloadt andere onderdelen van command and control (C2)-servers, decomprimeert bestanden, voert schadelijke DLL's uit door sideloading en installeert uiteindelijk infostealers of RAT's in het geheugen of op de schijf.

Waarom ClickFix zo moeilijk te detecteren is

Een van de grote voordelen van ClickFix voor aanvallers is dat het veel traditionele beveiligingsbarrières omzeilt.omdat de infectieketen lijkt te beginnen bij de gebruiker zelf en niet bij een gedownload bestand of een klassieke exploit.

Er is niet per se sprake van een verdachte bijlage of een uitvoerbaar bestand dat rechtstreeks van de browser is gedownload.Dat betekent dat veel e-mailfilters, downloadblokkers en URL-reputatiecontroles in die eerste fase niets duidelijk kwaadaardigs zien.

De opdracht wordt uitgevoerd vanaf een 'vertrouwde shell' van het systeem, zoals PowerShell, cmd.exe of de browserconsole.Hierdoor krijgt malware de schijn van legitieme activiteit en wordt het werk van op handtekeningen gebaseerde antivirusprogramma's en sommige beveiligingsoplossingen die niet goed zijn in gedragsanalyse, ingewikkelder.

Beveiligingsproducten detecteren de bedreiging doorgaans nadat de payload al is uitgevoerd. of pogingen om te integreren in beveiligde processen, kritieke bestanden zoals het hosts-bestand te wijzigen, persistentie te creëren of te communiceren met een C2-server; dat wil zeggen, in een post-exploitatiefase.

Tegen die tijd heeft de aanvaller mogelijk al aanzienlijke toegang tot het systeem verkregen.: het verhogen van privileges, het stelen van inloggegevens, het lateraal verplaatsen binnen het bedrijfsnetwerk of zelfs het proberen om antivirusprogramma's en andere verdedigingslagen uit te schakelen.

Waar ClickFix in de praktijk wordt toegepast: gangbare kanalen en lokmiddelen

Onderzoeken door verschillende beveiligingslaboratoria hebben aangetoond dat ClickFix in een groot aantal campagnes wordt gebruikt, gericht op zowel thuisgebruikers als bedrijven in cruciale sectoren.

Aanvallers vertrouwen vaak op deze kanalen om hun ClickFix-lokmiddelen te verspreiden:

• Legitieme websites gecompromitteerd, waarbij ze JavaScript-frameworks zoals ClearFake injecteren om valse update- of verificatiemeldingen weer te geven.
• Kwaadaardige reclame (malvertising)vooral banners en gesponsorde advertenties die doorverwijzen naar valse softwaredownloads of browservalidatiepagina's.
• Tutorials en video's op YouTube of TikTok, met vermeende trucs om software te activeren of premiumfuncties gratis te ontgrendelen.
• Nep-technische ondersteuningsforums en websites die helpportals nabootsen, waarbij het "aanbevolen" wordt om opdrachten uit te voeren om systeemfouten te verhelpen.

In Latijns-Amerika zijn al gevallen bekend van hackers op officiële websites en websites van universiteiten.Neem bijvoorbeeld de website van de School of Industrial Engineering van de Katholieke Universiteit van Chili of de website van het Politiehuisvestingsfonds van Peru, die ClickFix-flows aan hun bezoekers lieten zien.

Amerikaanse veiligheidsdiensten hebben gewaarschuwd voor campagnes die gericht zijn op gebruikers die zoeken naar games, PDF-lezers, Web3-browsers of berichten-appsDit alles wordt gedaan door alledaagse zoekopdrachten te gebruiken om door te verwijzen naar pagina's die ClickFix implementeren.

Er zijn ook campagnes waargenomen die vertrouwen op zogenaamde Google Meet-, Zoom-, DocuSign-, Okta-, Facebook- of Cloudflare-pagina's., waarbij een browserfout of CAPTCHA-verificatie wordt weergegeven, waardoor de gebruiker gedwongen wordt de volgorde van het kopiëren en uitvoeren van opdrachten te volgen.

Meest voorkomende malware verspreid met ClickFix

ClickFix is ​​zelden het enige onderdeel van de aanvalMeestal is het simpelweg de eerste vector die de implementatie van een meerfasen-infectieketen met een grote verscheidenheid aan malware mogelijk maakt.

Tot de meest prominente families die in recente campagnes zijn waargenomen, behoren::

• Infostealers zoals Vidar, Lumma, Stealc, Danabot, Atomic Stealer of Odyssey Stealer, gespecialiseerd in het stelen van browserreferenties, cookies, automatisch ingevulde gegevens, cryptocurrency-wallets, VPN- en FTP-referenties, etc.
• RAT's (remote access trojans) zoals NetSupport RAT of ARECHCLIENT2 (SectopRAT)waarmee aanvallers het systeem kunnen besturen, opdrachten kunnen uitvoeren, informatie kunnen exfiltreren en volgende fases kunnen starten, waaronder ransomware.
• Geavanceerde laders zoals GHOSTPULSE, Latrodectus of ClearFakedie als lijm fungeren en de volgende stukjes downloaden, ontcijferen en in het geheugen laden, vaak met zeer uitgebreide lagen van verduistering en encryptie.
• Hulpmiddelen voor het stelen van financiële en bedrijfsinformatie, die gegevens uit formulieren, e-mailclients, berichten en zakelijke toepassingen halen.

In actieve campagnes in 2024 en 2025 is gebleken dat ClickFix complexe ketens voedt.Een ClickFix-lokmiddel dat bijvoorbeeld PowerShell start, downloadt een ZIP-bestand met daarin een legitiem uitvoerbaar bestand (zoals jp2launcher.exe van Java) en een schadelijke DLL, en voert via sideloading NetSupport RAT uit op de computer.

Een ander veelvoorkomend geval is het gebruik van MSHTA met verduisterde URL's naar domeinen zoals iploggerco, die legitieme IP-verkortings- of registratieservices nabootsen. Van daaruit wordt een Base64-gecodeerd PowerShell-script gedownload dat uiteindelijk Lumma Stealer-stagers of vergelijkbare programma's vrijgeeft.

Praktijkvoorbeelden en uitgelichte campagnes met ClickFix

Rapporten van verschillende incidentresponsteams en beveiligingslaboratoria hebben meerdere zeer actieve campagnes geïdentificeerd die ClickFix als instappunt gebruiken.

In de zakelijke sector is een opmerkelijke impact waargenomen in sectoren zoals geavanceerde technologie, financiële dienstverlening, productie, detail- en groothandel, openbaar bestuur, professionele en juridische dienstverlening, energie en nutsvoorzieningen, en nog veel meer.

In een campagne uit mei 2025 gebruikten aanvallers ClickFix om NetSupport RAT te implementeren via neppagina's die zich voordeden als DocuSign en Okta, waarbij misbruik werd gemaakt van de infrastructuur die bij het ClearFake-framework hoorde, om JavaScript in te voegen waarmee het klembord werd gemanipuleerd.

In maart en april 2025 werd een toename waargenomen in het verkeer naar domeinen die beheerd worden door de familie Latrodectus., die ClickFix als eerste toegangstechniek ging gebruiken: een gecompromitteerde portal werd omgeleid naar een valse verificatie, het slachtoffer draaide een PowerShell vanuit Win+R en dit downloadde een MSI die de schadelijke DLL libcef.dll liet vallen.

Tegelijkertijd werden typosquatting-campagnes gedetecteerd die verband hielden met Lumma Stealer.Bij deze aanvallen werd slachtoffers gevraagd om MSHTA-opdrachten uit te voeren die verwezen naar domeinen die iplogger nabootsten. Met deze opdrachten werden zwaar verhulde PowerShell-scripts gedownload die uiteindelijk pakketten met uitvoerbare bestanden zoals PartyContinued.exe en CAB-inhoud (Boat.pst) decomprimeerden om een ​​AutoIt-scriptengine in te stellen die verantwoordelijk was voor het starten van de uiteindelijke versie van Lumma.

Elastic Security Labs heeft ook campagnes beschreven waarbij ClickFix als eerste haak voor GHOSTPULSE dientdie op zijn beurt een tussenliggende .NET-loader laadt en ten slotte ARECHCLIENT2 in het geheugen injecteert, waarbij mechanismen zoals AMSI worden omzeild door middel van hooking en geavanceerde verduistering.

Op het gebied van eindgebruikers hebben verschillende leveranciers vereenvoudigde voorbeelden van de ClickFix-aanval getoond waarbij een pagina voor 'browserupdates' of een nep-CAPTCHA stilletjes een script naar het klembord kopieert en de gebruiker vervolgens dwingt om het met beheerdersrechten in PowerShell te plakken, waardoor het gemakkelijker wordt om verbinding te maken met de C2-infrastructuur en uitvoerbare bestanden voor systeemwijzigingen te downloaden.

Een bijzonder zorgwekkend fenomeen is de komst van ClickFix op TikTok.Video's die zelfs met AI zijn gegenereerd, promoten 'eenvoudige methoden' om gratis betaalde versies van Office, Spotify Premium of bewerkingsprogramma's te activeren, maar in werkelijkheid sturen ze gebruikers naar het kopiëren en plakken van schadelijke opdrachten die infostealers als Vidar of Stealc installeren.

Hoe analisten ClickFix-infecties detecteren

Ook al lijkt het voor de gebruiker misschien zwarte magie, ClickFix-infecties laten een technisch spoor achter. die threat hunting-teams en EDR's kunnen gebruiken om het incident te detecteren.

In Windows-omgevingen is de registersleutel RunMRU een van de analysepunten., waarin de recent uitgevoerde opdrachten vanuit het venster Uitvoeren (Win+R) worden opgeslagen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\HuidigeVersie\Explorer\RunMRU

Analisten beoordelen deze vermeldingen op verdachte patronen.: verhulde opdrachten, gebruik van PowerShell of MSHTA met ongebruikelijke URL's, aanroepen naar onbekende domeinen of verwijzingen naar beheertools die de normale gebruiker doorgaans niet gebruikt.

Wanneer aanvallers de Win+X-variant (sneltoegangsmenu) gebruiken om PowerShell of de opdrachtprompt te startenDe oplossing is te vinden in procestelemetrie: gebeurtenissen bij het maken van processen (zoals ID 4688 in het beveiligingslogboek van Windows) waarbij explorer.exe powershell.exe start direct na het indrukken van Win+X.

De correlatie met andere gebeurtenissen, zoals toegang tot de map %LocalAppData%\Microsoft\Windows\WinX\ of verdachte netwerkverbindingen na die uitvoeringDit helpt om het typische gedrag van een ClickFix-infectie te schetsen, vooral als processen zoals certutil.exe, mshta.exe of rundll32.exe direct daarna verschijnen.

Een andere detectievector is misbruik van het klembordGeavanceerde URL-filtering en DNS-beveiligingsoplossingen kunnen JavaScript identificeren dat probeert schadelijke opdrachten in de klembordbuffer te injecteren, waardoor de pagina wordt geblokkeerd voordat de gebruiker de opdracht heeft voltooid.

Wat proberen aanvallers te bereiken met de ClickFix-techniek?

Achter al deze sociale manipulatie schuilt een duidelijk doel: economisch voordeel halen uit de gestolen informatie., zowel van individuele gebruikers als van organisaties.

Infostealers die via ClickFix worden ingezet, zijn ontworpen om inloggegevens, cookies en gevoelige gegevens te verzamelen. opgeslagen in browsers, e-mailclients, bedrijfsapplicaties of cryptocurrency-wallets, maar ook interne documenten en financiële gegevens.

Met dat materiaal kunnen kwaadwillenden meerdere criminele activiteiten uitvoeren:

• Afpersingsbedrijvendreigen met het lekken van vertrouwelijke informatie over de organisatie of haar klanten.
• Het plegen van directe financiële fraude door misbruik te maken van gehackte bankrekeningen, online betalingssystemen of crypto-wallets.
• Zich voordoen als het bedrijf of zijn werknemers om fraude te plegen tegen derden, zoals de typische CEO-fraude of BEC-aanvallen.
• Verkoop van inloggegevens en datapakketten op het dark web die andere criminele groepen bij toekomstige aanvallen zullen gebruiken.
• Om industriële of geopolitieke spionage uit te voeren wanneer het doelwit een specifieke organisatie of een strategische sector is.

In veel gedocumenteerde campagnes was ClickFix slechts de eerste stap naar grotere aanvalleninclusief ransomware-implementatie na diefstal van inloggegevens, langdurige toegang tot bedrijfsnetwerken of het gebruiken van de gecompromitteerde infrastructuur als springplank naar andere doeleinden.

Hoe kunnen gebruikers en bedrijven zich beschermen tegen ClickFix?

De verdediging tegen ClickFix combineert technologie, best practices en veel bewustzijn.Want de zwakke schakel die deze techniek uitbuit, is juist het gedrag van de gebruiker.

Op individueel niveau zijn er verschillende zeer eenvoudige gouden regels die het risico op vallen aanzienlijk verminderen:

• Plak nooit code in een console (PowerShell, cmd, terminal, browserconsole) alleen maar omdat een website u daarom vraagt.hoe legitiem het ook lijkt.
• Wees op uw hoede voor Cloudflare-verificaties, CAPTCHA's en pagina's met 'browserupdates' die om vreemde stappen vragen. verder dan het klikken op een vakje of een knop.
• Houd uw browser, besturingssysteem en applicaties altijd up-to-dateInstalleer patches van officiële bronnen en niet via willekeurige banners of pop-ups.
• Activeer tweefactorauthenticatie (2FA) op belangrijke accounts, om het leven van de aanvallers moeilijker te maken, zelfs als ze erin slagen het wachtwoord te stelen.

In de bedrijfsomgeving zouden bedrijven, naast deze aanbevelingen, nog een stap verder moeten gaan en ClickFix als een specifieke bedreiging binnen hun beveiligingsstrategie aanpakken.

Enkele belangrijke maatregelen voor organisaties zijn::

• Beperk het gebruik van hulpmiddelen voor het uitvoeren van opdrachten (PowerShell, cmd, MSHTA) via groepsbeleid, toepassingscontrolelijsten of EDR-configuraties, zodat alleen technische profielen ze gebruiken en de activiteit altijd wordt geregistreerd.
• Implementeer moderne antimalware- en EDR-oplossingen met op gedrag gebaseerde detectiemogelijkheden, die verdachte uitvoeringspatronen kunnen identificeren, zelfs wanneer de gebruiker ingrijpt.
• Controleer het netwerkverkeer en uitgaande verbindingen naar domeinen met een slechte reputatiemet name voor URL-verkortingsdiensten, nieuw geregistreerde domeinen of ongebruikelijke TLD's.
• Controleer regelmatig artefacten zoals RunMRU, PowerShell-logboeken en beveiligingsgebeurtenissen om signalen van misbruik van Win+R, Win+X of beheerconsoles te detecteren.

Een fundamentele pijler is de continue en realistische opleiding van het personeelEen theoretische cursus is niet voldoende; het is nuttig om gecontroleerde social engineering-tests uit te voeren die ClickFix-achtige campagnes, CEO-fraude, geavanceerde phishing of malvertising simuleren.

Met deze simulaties kunnen we de mate van volwassenheid van het personeel met betrekking tot deze technieken meten.Pas de bewustmakingsstrategie aan, identificeer de gebieden met een groter risico en versterk de cultuur van 'even stilstaan ​​en nadenken' voordat u verdachte instructies op een website of in een e-mail opvolgt.

Bovendien is het van cruciaal belang dat bedrijven voorbereid zijn om snel te reageren op een incident: Zorg voor duidelijke responsplannen, gespecialiseerde teams of aanbieders en duidelijk gedefinieerde inperkings- en uitroeiingsprocessen voor het geval dat een mogelijk ClickFix-geval of een andere compromitterende vector wordt gedetecteerd.

De verspreiding van de ClickFix-techniek laat duidelijk zien dat aanvallers een zeer effectieve manier hebben gevonden om de gebruiker tot een onbewuste medeplichtige te maken.En ze aarzelen niet om dit te combineren met geavanceerde malware, dynamische C2-infrastructuren en grootschalige campagnes op sociale netwerken of zoekmachines. Begrijpen hoe het werkt, de signalen ervan herkennen en zowel de technologie als de voorlichting van gebruikers versterken, maken vandaag de dag het verschil tussen een ernstige inbreuk of het tijdig afslaan van de aanval.

Gerelateerd artikel:

Hoe u zich kunt beschermen tegen Interlock- en Warlock-ransomware: een tactische en praktische gids