ClickFix is een nieuwe vorm van bedrog die Windows Update nabootst om malware op je pc te doen installeren.

Cybercriminelen blijven hun trucendoos uitbreiden. De recentste evolutie heet ClickFix, een aanval die gebruikers misleidt met een geloofwaardige Windows Update-animatie in de browser. Onder die façade verbergen hackers kwaadaardige code in ogenschijnlijk onschuldige afbeeldingen. Het maakt de methode bijzonder lastig te detecteren.

Gebruikers laten zélf malware uitvoeren

ClickFix is geen klassieke hack, maar pure sociale manipulatie. Slachtoffers worden overtuigd om zelf gevaarlijke commando’s te kopiëren en uit te voeren in de Windows-opdrachtprompt. Omdat het slachtoffer de code bewust plakt, omzeilt de aanval veel beveiligingswaarschuwingen. Geen wonder dat de techniek zich razendsnel verspreidt onder cybercriminelen.

Sinds 1 oktober zien beveiligingsonderzoekers varianten die inspelen op meer scenario’s waarin criminelen het vertrouwen proberen te wekken: een zogezegd dringende Windows-beveiligingsupdate, of de alom bekende ‘human verification’. In beide gevallen krijgt het slachtoffer een fullscreen browserpagina te zien, compleet met realistisch ogende update-animatie, waarna de site instructies geeft om een reeks toetsen in te drukken. Achter de schermen kopieert JavaScript automatisch kwaadaardige code naar het klembord.

Malware verstopt in afbeeldingen

De nieuwe ClickFix-varianten die Huntress onderzocht, installeren uiteindelijk de bekende LummaC2- en Rhadamanthys-infostealers. Opvallend: de criminelen maken gebruik van steganografie om het uiteindelijke malware-payload in PNG-afbeeldingen te verstoppen. Niet simpelweg eraan vastgeplakt, maar diep in de pixelwaarden gecodeerd.

Het proces start met mshta.exe, een legitiem Windows-onderdeel dat misbruikt wordt om kwaadaardige JavaScript uit te voeren. Vervolgens komt PowerShell in actie, samen met een .NET-module die door Huntress de ‘Stego Loader’ wordt genoemd. Die loader bevat zelf een AES-versleutelde blob (opnieuw een PNG) die de uiteindelijke shellcode bevat. Pas in het geheugen wordt die code gedecrypteerd en uitgevoerd. Om detectie extra moeilijk te maken, gebruiken de hackers een truc op die ze ‘ctrampoline’ noemen: de malware laat een functie 10.000 nutteloze subroutines aanroepen, enkel om analyse-tools te frustreren.

© Huntress

Aanval blijft actief: hoe bescherm je jezelf?

Een van de ClickFix-varianten die zich voordeed als een Windows Update-scherm, werd al in oktober gespot. Toen de internationale politieactie Operation Endgame op 13 november delen van de Rhadamanthys-infrastructuur neerhaalde, lag het malwareplatform er even uit. De domeinen achter de fake updates staan echter nog steeds online, wat doet vermoeden dat de campagne in afgeslankte vorm verdergaat.

ClickFix misbruikt vooral menselijk vertrouwen. Toch kunnen organisaties en gebruikers zich wapenen:

Schakel het Windows Run-venster uit als het niet strikt nodig is;

Monitor verdachte procesketens, zoals explorer.exe, mshta.exe of ongewone PowerShell-processen;

Controleer de RunMRU-registry sleutel na een incident om te zien of een gebruiker ongewenste commando’s heeft uitgevoerd;

En vooral: vertrouw nooit websites die vragen om commando’s te plakken in je terminal, ongeacht hoe ‘officieel’ ze eruitzien.

ClickFix toont nog maar eens hoe creatief cybercriminelen worden in hun pogingen om detectie te omzeilen. Een realistisch nep-updatescherm volstaat helaas om nietsvermoedende gebruikers te overtuigen. Waakzaamheid is dus meer dan ooit geboden.