ClickFix-campagne vermomt zich als Windows Update-scherm

In dit artikel:

Onderzoekers meldden een nieuwe golf ClickFix-aanvallen sinds begin oktober waarbij criminelen slachtoffers misleiden met een nagemaakt, full‑screen Windows Update-scherm om malware te installeren. BleepingComputer bracht de campagne aan het licht; de valse pagina’s bootsen Windows‑animaties na zodat gebruikers denken met een legitieme systeemupdate bezig te zijn.

De truc werkt grotendeels via sociale manipulatie en automatisering: een script op de webpagina plaatst vooraf gemaakte, kwaadaardige opdrachten op het klembord. Bezoekers wordt vervolgens gevraagd een toetscombinatie in te drukken om het vermeende updateproces te voltooien — daardoor worden de gekopieerde commando’s onbewust uitgevoerd in de Windows-opdrachtprompt.

De aanvallers verbergen de eigenlijke payload met steganografie: delen van de schadelijke code worden verstopt in de pixeldata van PNG‑afbeeldingen. Een speciaal ontwikkelde loader (een .NET‑assembly die onderzoekers ‘Stego Loader’ noemen) haalt die fragmenten uit de afbeeldingen, ontsleutelt ze via custom C#‑code en zet ze in het geheugen om naar uitvoerbare shellcode.

De keten start typisch met mshta (een legaal Windows‑hulpmiddel voor het uitvoeren van JavaScript), gevolgd door PowerShell‑scripts en de genoemde .NET‑component. Om analyse en detectie te bemoeilijken laten de aanvallers eerst duizenden lege functies lopen voordat de werkelijke code draait, waardoor beveiligingssoftware het echte gedrag lastiger kan identificeren.

Als de uiteindelijke payload eenmaal actief is, betreft het meestal informatie‑stealers die inloggegevens, browserdata en andere gevoelige informatie verzamelen. Hoewel onderzoekers delen van de gebruikte infrastructuur hebben ontregeld, blijven de misleidende webpagina’s online en vormt de methode een blijvende dreiging zolang gebruikers dergelijke prompts opvolgen.

Praktische adviezen: voer geen commando’s uit die een website op het klembord plakt of via instructies van een webpagina verlangt; controleer Windows‑updates uitsluitend via de Instellingen; beperk ontwikkelingen zoals mshta/PowerShell waar mogelijk; houd antivirus en systeemsoftware up‑to‑date en wees terughoudend bij full‑screen webdialogen die om handmatige acties vragen.