Nieuwe ClickFix-aanval misleidt gebruikers via het Windows updatescherm
Een variant van de ClickFix-malware doet zich voor als een Windows‑update en zet gebruikers aan tot handelingen die leiden tot het uitvoeren van kwaadaardige code. De blauwe schermweergave lijkt op een legitieme updatepagina en neemt het volledige scherm over via de browser.
Microsoft
De geniepige nieuwe vorm van malware laten installeren door gebruikers, werd opgemerkt door cybersecurityonderzoeker Daniel Braund van de Britse National Health Service. Hij plaatste zijn bevindingen op LinkedIn. De aanval zou al langere tijd op het domein groupewadesecurity[.]com draaien.
Fullscreen voor de volledige ervaring
De pagina maakt misbruik van de Fullscreen‑functie in moderne webbrowsers. De gebruiker ziet daardoor geen adresbalk of tabbladen. Vervolgens verschijnt de oproep om de Windows‑toets en de R‑toets tegelijk in te drukken. Die combinatie opent het venster Uitvoeren op een Windows‑pc.
Op de achtergrond kopieert de pagina schadelijke commando's naar het klembord. Daarna volgt de instructie om op CTRL + V te drukken om te plakken. Wie daarna op Enter drukt, start een commando dat code vanaf het kwaadwillige domein laat uitvoeren op de pc.
ClickFix houdt al langer huis
Onderzoekers plaatsen deze campagne in de bredere ClickFix‑trend. Die techniek richt zich al langer op Windows‑systemen met vergelijkbare stappen. Eerder verschenen nep‑pagina’s die zich voordeden als CAPTCHA‑tests, foutmeldingen van Chrome of websites van overheden. De huidige variant voegt een realistische update‑presentatie toe.
Beveiligingsleveranciers melden een toename van ClickFix‑aanvallen. Volgens ESET leidt de methode tot uiteenlopende dreigingen. Het gaat om diefstal van gegevens, versleuteling van bestanden, toegang op afstand, het delven van cryptovaluta, tools voor verdere misbruik en maatwerkmalware van groepen gelieerd aan staten.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee