Wat is ClickFix (en FileFix)?

door

Laatst bijgewerkt:
11 leestijd: 11 minuten
Wat is ClickFix (en FileFix)?

Belangrijkste Conclusies

  • ClickFix is een misleidende techniek waarmee gebruikers worden verleid om handmatig schadelijke opdrachten uit te voeren die op de achtergrond naar het klembord zijn gekopieerd, via de standaardprogramma's van het besturingssysteem.
  • De geavanceerde variant van FileFix omzeilt beheerdersopdrachtblokken door slachtoffers ertoe te verleiden schadelijke code in de standaard adresbalk van Windows Verkenner te plakken.
  • Omdat deze aanvallen ‘fileless’ zijn en na authenticatie misbruik maken van actieve eindpunten, weten ze traditionele antivirusscanners, EDR-platforms en meervoudige authenticatie met succes te omzeilen.
  • Deze vector is uitgegroeid tot een favoriet instrument voor eerste toegang, dat zowel door opportunistische cybercriminele groepen die gegevens stelen als door geavanceerde spionagenetwerken van staten wordt ingezet.
  • Om organisaties tegen deze dreiging te beschermen, is het noodzakelijk om risicovolle interfaces via groepsbeleid te beperken, afwijkend gedrag op eindapparaten te monitoren en contextgebonden trainingen voor medewerkers aan te bieden.

Je klikt op ‘Ik ben geen robot’, maar in plaats van een groen vinkje verschijnt er een foutmelding waarin je wordt gevraagd een korte handmatige verificatiestap uit te voeren. Zonder dat je het doorhebt, heeft JavaScript op die pagina al een verborgen, kwaadaardige opdracht rechtstreeks naar het klembord van je computer gekopieerd. In de melding word je gevraagd het dialoogvenster ‘Uitvoeren’ van Windows te openen, de tekst te plakken en op Enter te drukken om het probleem te ‘verhelpen’.

Dit is het mechanisme achter ClickFix, een gevaarlijke social-engineeringtechniek die de afgelopen twee jaar als een lopend vuurtje door het cyberdreigingslandschap is gegaan. Samen met de nieuwere, nog heimelijkere variant die bekendstaat als FileFix, heeft deze aanvalsvector de traditionele verdedigingsmodellen op zijn kop gezet.

ClickFix-aanval-verloop

Wat een ClickFix-aanval zo bijzonder frustrerend maakt voor beveiligingsteams, is de totale afwezigheid van traditionele indicatoren van een inbreuk. Er is geen kwaadaardig bestand dat kan worden onderschept, er wordt geen kwetsbaarheid in software misbruikt en er zijn geen gekraakte wachtwoorden.

Wat is ClickFix op het gebied van cyberbeveiliging?

ClickFix is een ‘fileless’ social engineering-techniek waarbij een gehackte of kwaadaardige webpagina een misleidende foutmelding, een valse CAPTCHA of een verificatieverzoek aan een gebruiker toont.

Beveiligingsonderzoekers hebben deze specifieke techniek voor het eerst gedocumenteerd in 2024. De techniek is voortgekomen uit een eerdere, primitievere variant, bekend als „ClearFix”, waarvan de eerste sporen teruggaan tot oktober 2023. De naam „ClickFix” is geen officiële standaardbenaming binnen de sector, maar werd al snel de gangbare term in de cyberbeveiligingssector naarmate de dreiging in de loop van 2024 en 2025 aan populariteit won.

Deze psychologische truc speelt volledig in op de gewoonten van gebruikers. Mensen zijn er volledig aan gewend om verificatievakjes aan te vinken en kleine browserfouten zelf op te lossen om bij de inhoud te komen die ze werkelijk willen zien. ClickFix speelt precies op die reflex in door een onmiddellijke oplossing te bieden voor een kunstmatig gecreëerde technische hindernis.

Waarom omzeilt ClickFix traditionele beveiligingstools?

Standaardbeveiligingsmaatregelen voor bedrijven zijn bedoeld om schadelijke payloads op te sporen die de netwerkperimeter binnendringen. ClickFix weet deze architecturen moeiteloos te omzeilen dankzij een aantal duidelijke operationele voordelen:

  • Beveiligde e-mailgateways, statische antivirusmodules en veel Endpoint Detection and Response-platforms hebben helemaal niets om te analyseren, omdat er tijdens de eerste fase van de aanval feitelijk geen uitvoerbaar bestand wordt gedownload of als bijlage wordt meegestuurd
  • Het gekaapte klembordcommando maakt gebruik van vertrouwde, vooraf geïnstalleerde systeemhulpprogramma’s zoals PowerShell, de Windows-opdrachtprompt of de macOS-terminal om zijn taken uit te voeren. Dit komt omdat IT-beheerders juist deze tools dagelijks gebruiken voor legitieme bewerkingen.
  • MFA is bedoeld om de identiteitsgebaseerde toegang tijdens een inlogsessie te beveiligen. Een ClickFix-aanval richt zich rechtstreeks op de actieve eindpunt-sessie nadat de authenticatie al heeft plaatsgevonden, waardoor zelfs de meest robuuste MFA-beleidsregels de uitvoering ervan niet kunnen voorkomen.

Hoe werkt een ClickFix-aanval stap voor stap?

Een actieve ClickFix-campagne verloopt doorgaans in vijf afzonderlijke tactische fasen:

Stap 1: Het aas

De cybercrimineel krijgt de controle over een legitieme website (vaak door slecht beveiligde WordPress-sites of advertentienetwerken te compromitteren) of zet een speciaal voor dit doel opgezet kwaadaardig domein op. Ze maken vaak gebruik van typosquatting of malvertising om organisch verkeer naar deze locaties te leiden. Om de geloofwaardigheid te maximaliseren, doen de pagina’s zich in hoge mate voor als vertrouwde bedrijfsmerken zoals Microsoft, Cloudflare of Booking.com.

Stap 2: De valse verificatie

Wanneer een gebruiker op de pagina terechtkomt, gebruikt de aanvaller een overlay om de verwachte inhoud te blokkeren. De gebruiker krijgt een zeer realistisch ogend vals CAPTCHA-venster te zien, een nepwaarschuwing dat de browser moet worden bijgewerkt, of een foutmelding bij het laden van een document met een opvallende knop ‘Fix It’ of ‘Verify’.

Stap 3: De klembordkaping

Zodra het slachtoffer op die knop klikt, wordt een verborgen JavaScript-fragment op de achtergrond geactiveerd. Dit script overschrijft automatisch het klembord van de gebruiker met een sterk versleutelde, kwaadaardige reeks opdrachten. Deze wijziging op het klembord vindt onopgemerkt plaats, zonder zichtbare bevestiging.

Stap 4: De instructies

De webpagina schakelt onmiddellijk over naar een instructiescherm. Dit scherm leidt het slachtoffer door een precieze reeks toetsencombinaties: druk op Win + R om het venster ‘Uitvoeren’ van Windows te openen, druk op Ctrl + V om de gekopieerde inhoud te plakken en druk op Enter. De pagina presenteert deze reeks als een noodzakelijke handmatige oplossing om de laadfout te verhelpen.

Stap 5: Uitvoering en levering van de payload

Zodra de gebruiker op Enter drukt, voert het besturingssysteem de verborgen klembordopdracht uit. Dit leidt doorgaans tot het tot stand brengen van een stille verbinding op de achtergrond met een externe server, om daar gespecialiseerde malware te downloaden en te installeren. De browser zelf verwerkt nooit een expliciete link voor het downloaden van bestanden, waardoor webfilters op browserniveau volledig blind zijn voor de installatie.

Wat is FileFix en hoe ontwikkelt de aanval zich?

Toen de beveiligingscentra (SOC’s) van bedrijven het gebruik van het Windows-dialoogvenster ‘Uitvoeren’ gingen monitoren en beperken, pasten aanvallers hun aanpak al snel aan. Op 23 juni 2025 maakte beveiligingsonderzoeker mr.d0x een nog onopvallender alternatief bekend , dat de naam FileFix kreeg.

In plaats van gebruikers te dwingen om administratieve opdrachtvensters te gebruiken, toont een FileFix-aanval een normaal ogende knop ‘bestand uploaden’ op een webpagina. Als de gebruiker op deze knop klikt, wordt een legitiem, in Windows ingebouwd Verkenner-venster geopend. De instructiepagina geeft de gebruiker vervolgens de opdracht om in de adresbalk van Verkenner bovenaan te klikken, de inhoud van het klembord (vermomd als een bestandspad) te plakken en op Enter te drukken.

FileFix-Variant-Flow

Deze variant is om twee redenen aanzienlijk gevaarlijker. Ten eerste vinden gewone kantoormedewerkers Verkenner veel vertrouwder en minder alarmerend dan het technisch ogende venster ‘Uitvoeren’. Ten tweede is Verkenner diep geïntegreerd in de kernfuncties van het bureaublad, waardoor het voor IT-teams moeilijk is om het via traditionele Groepsbeleid (GPO)-instellingen af te schermen, in tegenstelling tot beheersprogramma’s voor opdrachten.

Tijdlijn van misbruik: hoe cybercriminelen voortbouwden op FileFix

Cybercriminele groeperingen hebben dit nieuwe onderzoek met alarmerende snelheid in de praktijk gebracht. Check Point Research ontdekte op 6 juli 2025, minder dan twee weken na de eerste openbaarmaking, dat actieve cybercriminelen FileFix-code aan het testen waren binnen een actieve phishing-infrastructuur. Halverwege juli 2025 documenteerde het DFIR-rapport een actieve campagne (bijgehouden onder de naam „KongTuke“) die gebruikmaakte van FileFix om een geavanceerde variant van de Interlock Remote Access Trojan (RAT) te verspreiden. In september 2025 ontdekten onderzoekers aangepaste FileFix-varianten waarin steganografie was verwerkt, waardoor kwaadaardige payloads volledig werden verborgen in onschuldige afbeeldingsbestanden, gehost op meertalige phishing-sites om stilletjes StealC-malware te verspreiden.

Toepassingsvoorbeelden van ClickFix

ClickFix is uitgegroeid van een experimentele cybercriminaliteitstruc tot een favoriet instrument voor zeer geavanceerde cyberdreigingsgroepen. Binnen een kort tijdsbestek van 90 dagen, van oktober 2024 tot januari 2025, hebben vier grote, door staten gesteunde cyberdreigingsactoren ClickFix geïntegreerd in hun actieve cyberspionageoperaties: het Russische APT28, het Noord-Koreaanse Kimsuky, het Iraanse MuddyWater en de aan Rusland gelieerde groep COLDRIVER. De Pakistaanse APT36 volgde kort daarna, in mei 2025. In plaats van complete operaties vanaf nul op te bouwen, hebben deze geavanceerde persistente bedreigingen (APT’s) ClickFix in hun bestaande phishing-frameworks geïntegreerd.

Verschillende opvallende campagnes illustreren de enorme diversiteit van deze activiteiten:

  • De Google Sheets-valstrik van APT28: Deze groep maakte gebruik van een uiterst realistische nep-pagina van Google Spreadsheet om slachtoffers naar een reCAPTCHA-venster te lokken. Door op het vakje te klikken werd ongemerkt een versleutelde SSH-tunnel tot stand gebracht en werd Metasploit rechtstreeks op het doelnetwerk geïnstalleerd, waardoor de aanvallers permanente toegang via een achterdeur kregen.
  • De ‘Patch Tuesday’-campagne van MuddyWater: Deze groep, die onder de naam TA450 opereerde, coördineerde grootschalige phishing-aanvallen die expliciet waren afgestemd op het maandelijkse ‘Patch Tuesday’-schema van Microsoft. De e-mails deden zich voor als dringende waarschuwingen over Windows-beveiligingsupdates en richtten zich met succes op ten minste 39 vooraanstaande organisaties in het Midden-Oosten.
  • Storm-1865 Hospitality Wave: Deze actor deed zich systematisch voor als geautomatiseerde berichten van Booking.com om zich te richten op administratief personeel in de hotel- en reisbranche, met als doel het verzamelen van inloggegevens van medewerkers.
  • Beveiligingslek in de toeleveringsketen van de automobielsector: In maart 2025 leidde één gehackte externe leverancier, LES Automotive, ertoe dat infectiescripts van ClickFix gelijktijdig op meer dan 100 verschillende websites van autodealers werden geïnjecteerd.
  • Gevolgen van ransomware: De Interlock-ransomwaregroep maakt eveneens gebruik van ClickFix om aanvankelijke toegang te verkrijgen; zo is er een gedocumenteerd incident uit augustus 2025 waarbij een slachtoffer uit de Amerikaanse staats- of lokale overheid betrokken was.

Hoe heeft de ClickFix-malware zich ontwikkeld?

De technische drempel voor het uitvoeren van deze aanval is drastisch gedaald. Commerciële „ClickFix builder“-kits worden nu op grote schaal gekocht en verkocht op ondergrondse hackerforums, waardoor ook cybercriminelen met weinig vaardigheden op maat gemaakte campagnes kunnen opzetten. Bovendien is de aanval niet langer strikt beperkt tot Windows-systemen; recente varianten richten zich nu ook op macOS-gebruikers via base64-gecodeerde Terminal-opdrachten, evenals op Linux-bedrijfsomgevingen. Onafhankelijke teams voor dreigingsinformatie, waaronder Recorded Future en het Center for Internet Security, meldden dat ClickFix tot in 2026 een van de meest actieve technieken voor initiële toegang bleef, waarbij steeds nieuwe lokthema’s (waaronder valse uitnodigingen voor vergaderingen en meldingen voor software-updates) bleven opduiken.

Tot de diverse soorten eindladingen die via deze methoden worden verspreid, behoort een breed scala aan gevaarlijke soorten malware:

Classificatie van de nuttige ladingGeconstateerde specifieke malwarefamilies
InformatiedievenLumma Stealer, StealC, Vidar, DanaBot, Atomic macOS Stealer
Remote Access Trojans (RAT's)AsyncRAT, XWorm, NetSupport, VenomRAT, Quasar
Laders en toegangsvoorzieningenLatrodectus, MintsLoader, DarkGate
Ransomware-aanvallenInterlock, Qilin
Misbruik van tools voor beheer op afstandScreenConnect, de „Level“-RMM-tool

Van deze payloads blijft Lumma Stealer de meest dominante. Microsoft identificeerde wereldwijd meer dan 394.000 geïnfecteerde Windows-apparaten tijdens een korte periode van twee maanden tussen maart en mei 2025. Hoewel een grootschalige operatie van wetshandhavingsinstanties – waarbij Microsoft, Europol, de FBI en het Amerikaanse ministerie van Justitie betrokken waren – erin slaagde deze infrastructuur gecoördineerd uit de lucht te halen, wisten delen van de Lumma-backend zich binnen slechts enkele weken te herstellen en hun activiteiten te hervatten.

Hoe zien de cijfers van ClickFix en FileFix eruit?

Uit de kwantitatieve cijfers over deze bestandsloze campagnes blijkt waarom ze in de hele sector een noodsituatie zijn geworden:

  • 517%: De enorme stijging van het aantal door ESET geregistreerde ClickFix-detecties in de eerste helft van 2025 ten opzichte van de tweede helft van 2024. Door deze explosieve groei is ClickFix wereldwijd uitgegroeid tot de op één na meest voorkomende aanvalsvector, direct na traditionele phishing.
  • 8%: Het totale percentage van alle wereldwijde webgebaseerde aanvallen die door telemetrie zijn geblokkeerd en die expliciet door ClickFix-scripts worden aangestuurd.
  • 47%: Het percentage van alle meldingen van eerste toegang die door het 'Threat Hunting'-team van Microsoft Defender Experts zijn uitgegeven en die over een periode van 12 maanden rechtstreeks aan ClickFix-vectoren werden toegeschreven.
  • 54%: Het percentage slachtoffers van ransomware van wie de inloggegevens voor het bedrijfsdomein al vóór de daadwerkelijke versleuteling te koop werden aangeboden op marktplaatsen voor gestolen gegevens, volgens het Data Breach Investigations Report (DBIR) 2025 van Verizon.

Deze laatste statistiek benadrukt de gevaarlijke keten van inloggegevensdiefstal naar ransomware. De mediane tijdspanne tussen het moment waarop een medewerker zijn inloggegevens kwijtraakt aan een infostealer en het moment waarop een cybercriminalengroep ransomware in dat bedrijfsnetwerk verspreidt, bedraagt momenteel slechts twee dagen. Aangezien ClickFix en FileFix tot de belangrijkste verspreidingsmechanismen behoren die deze markten voor inloggegevens voeden, is het stoppen van deze eerste interacties een cruciale voorwaarde om een rampzalige ransomware-aanval te voorkomen.

Hoe herken je een poging tot ClickFix of FileFix?

Medewerkers van bedrijven vormen de eerste verdedigingslinie tegen deze dreiging. Om uw eindpunt te beschermen, moet u elke ongebruikelijke webmelding toetsen aan deze veiligheidschecklist:

  • Een betrouwbare website zal je nooit vragen om het dialoogvenster ‘Uitvoeren’ van Windows, een terminal of de adresbalk van Verkenner te openen om je identiteit te ‘verifiëren’ of een browserfout te verhelpen.
  • Wees op je hoede voor CAPTCHA’s of foutmeldingen waarin je wordt gevraagd om toetsencombinaties in te drukken, zoals Win + R, Cmd + Spatie of Ctrl + V.
  • Als je iets plakt en er verschijnt een lange reeks code die je nooit hebt gekopieerd, dan is je klembord gehackt. Plak of voer die inhoud nergens uit.
  • Standaard beveiligingstools draaien volledig binnen het actieve tabblad van je browser. Je hoeft hiervoor nooit de webbrowser te verlaten of iets te doen met externe desktopsoftware.

Als je tijdens het surfen of via een bericht ooit een onbekende of verdachte link tegenkomt, kun je de status ervan controleren met een speciale, gratis tool voor het controleren van links, voordat je er iets mee doet.

Hoe kunnen IT-teams zich verdedigen tegen ClickFix en FileFix?

Aangezien deze aanvallen gebruikmaken van legitieme systeemfuncties in plaats van traditionele exploits, is voor de verdediging hiertegen een gelaagd beveiligingsmodel nodig.

1. Beperk en controleer risicovolle koppelingen

IT-technische teams moeten, waar dit operationeel haalbaar is, restrictieve Group Policy (GPO)-maatregelen implementeren om de toegang tot beheeropdrachtinterfaces, zoals het dialoogvenster ‘Uitvoeren’ (cmd.exe) en de native uitvoering van PowerShell, te blokkeren voor standaardgebruikers zonder beheerdersrechten. Wanneer volledige beperkingen niet mogelijk zijn, moet de monitoringinfrastructuur zo worden geconfigureerd dat afwijkingen in de RunMRU-registersleutels worden gesignaleerd, alle snelle wijzigingen in de inhoud van het klembord worden gelogd en uitgebreide logboekregistratie van geblokkeerde PowerShell-scripts wordt afgedwongen.

2. Een architectuur voor bewegingsdetectie die verder gaat dan het bestand

Aangezien traditionele statische bestandsscans geen weerstand bieden tegen bestandsloze malware, moeten beveiligingsteams de volledige gedragsketen in ogenschouw nemen. Beveiligingsoplossingen moeten geavanceerde webfilters aan de perimeter combineren – om inkomende HTML-/URL-structuren te scannen – met gedragsanalyses op eindpunten die in staat zijn om de kenmerkende signatuur te identificeren van een browserproces dat commando’s in systeemtools injecteert.

3. De oorspronkelijke verspreidingswijze van phishing-aanvallen afsnijden

Hoewel de interactie met ClickFix via het web plaatsvindt, wordt de oorspronkelijke link op grote schaal verspreid via gerichte phishing-e-mails of kwaadaardige advertenties die zich voordoen als vertrouwde bedrijfsmerken of interne bedrijfsdomeinen. Volgens rapporten van het Center for Internet Security (CIS) en het Multi-State Information Sharing and Analysis Center (MS-ISAC) ontvangen organisaties in de publieke sector regelmatig phishing-berichten die misbruik maken van subdomeinen van vertrouwde diensten (zoals trycloudflare.com of r2.dev) om standaard e-mailfilters te omzeilen en slachtoffers om te leiden naar valse CAPTCHA-schermen.

Het handhaven van domeinauthenticatieprotocollen zoals Domain-based Message Authentication, Reporting, and Conformance (DMARC) met een strikt handhavingsbeleid van p=reject beperkt de mogelijkheden van cybercriminelen om het domein van uw organisatie te vervalsen bij het versturen van deze eerste phishing-berichten aanzienlijk. Het is belangrijk om hier heel duidelijk over te zijn: DMARC is een maatregel voor identiteitsverificatie en merkbescherming, geen directe oplossing voor uitvoering op eindpunten. Het kan niet voorkomen dat een medewerker code in een terminal plakt zodra hij of zij zich al op een kwaadaardige site bevindt, maar het ondermijnt wel aanzienlijk het vermogen van de aanvaller om zeer overtuigende e-mails met vervalst domein te versturen, waarmee de aanvalsketen überhaupt op gang wordt gebracht.

Blokkeer vandaag nog domeinspoofing en phishing-bedreigingen met PowerDMARC

4. Contextgebonden gebruikerstraining verzorgen

Algemene beveiligingstrainingen voor bedrijven, waarin medewerkers alleen maar wordt verteld dat ze „niet op verdachte links moeten klikken”, zijn volstrekt ondoeltreffend tegen de specifieke visuele patronen die ClickFix gebruikt. Organisaties moeten korte, gerichte trainingsoefeningen invoeren die volledig op deze operationele cyclus zijn gericht. De belangrijkste les moet duidelijk en praktisch toepasbaar zijn: als een website je vraagt om tekst in het „Uitvoeren”-venster van Windows of in de adresbalk van Verkenner te plakken, stop dan onmiddellijk en meld dit aan de IT-afdeling.

5. Rapportage over zelfherstel normaliseren

ClickFix maakt actief gebruik van de natuurlijke neiging van mensen om kleine technische storingen zelf op te lossen, zonder de helpdesk te hoeven lastigvallen. Beveiligingsteams moeten dit gedrag bewust tegengaan door duidelijke, soepele meldingsprocedures in te voeren. Medewerkers moeten weten dat het melden van een vreemde verificatievraag de verwachte en veilige handeling is.

Slotwoord: Het menselijke aspect veiligstellen

ClickFix en FileFix betekenen een zeer tactische verschuiving in de moderne cybercriminaliteit. Deze campagnes verspillen geen tijd met het zoeken naar complexe zero-day-kwetsbaarheden in software; in plaats daarvan richten ze zich op een veel eenvoudiger kwetsbaarheid: de natuurlijke menselijke neiging om snel door een kleine technische storing heen te klikken. Deze eenvoudige gedragsmanipulatie is zo effectief gebleken dat ze nu zowel door opportunistische cybercriminelen als door geavanceerde inlichtingennetwerken van staten actief wordt ingezet.

Om deze dreiging het hoofd te bieden, is een evenwichtige, meerlaagse verdediging nodig. Organisaties moeten proactieve monitoring van eindpunten, gerichte gedragstrainingen voor medewerkers en technische authenticatiemaatregelen combineren om de initiële verspreidingskanalen te blokkeren.

Door strenge domeinverificatie in te voeren, kunt u ongeautoriseerde e-mails die vanaf uw bedrijfsdomeinen worden verzonden volledig blokkeren. Neem de controle over uw e-mailbeveiliging en bescherm het imago van uw onderneming. Gebruik het PowerDMARC Domain Security Platform om uw e- mailecosysteem te analyseren en vandaag nog een actieve verdediging tegen phishing-verzendnetwerken in te voeren.

Veelgestelde Vragen

Wat is ClickFix op het gebied van cyberbeveiliging?

ClickFix is een ‘fileless’ social engineering-techniek waarbij gehackte websites valse CAPTCHA’s of valse foutmeldingen van de browser weergeven. Wanneer een gebruiker op de melding klikt, kopieert JavaScript op de achtergrond een schadelijke opdracht naar het klembord, waarna de gebruiker via instructies wordt aangemoedigd om deze handmatig te plakken en uit te voeren met behulp van vertrouwde systeemtools, zoals het venster ‘Uitvoeren’ van Windows.

Wat is het verschil tussen ClickFix en FileFix?

ClickFix misleidt slachtoffers zodat ze kwaadaardige opdrachten uit het klembord rechtstreeks in systeemhulpprogramma’s met beheerdersrechten plakken, zoals het dialoogvenster ‘Uitvoeren’ van Windows of de Terminal van macOS. FileFix is een geavanceerdere variant die gebruikers ertoe verleidt een standaardvenster van Windows Verkenner te openen en de opdracht rechtstreeks in de adresbalk te plakken; een interface die gebruikers beter kennen en die voor IT-teams moeilijker te beperken is.

Hoe kan een ClickFix-aanval een computer infecteren zonder dat er een schadelijk bestand aan te pas komt?

Bij deze aanval worden bestandsdownloads tijdens de eerste fase van de infectie volledig vermeden. Er wordt gebruikgemaakt van in het systeem geïntegreerde JavaScript-code op de achtergrond om het klembord van het systeem van de gebruiker te kapen. Het slachtoffer plakt vervolgens handmatig die verborgen code en voert deze uit met behulp van vertrouwde, vooraf geïnstalleerde beheerdersprogramma’s van het besturingssysteem, een methode die bekendstaat als „living off the land”.

Welke cybercriminelen maken gebruik van ClickFix en FileFix?

Deze techniek wordt op grote schaal toegepast in het dreigingslandschap. Ze wordt zowel gebruikt door wijdverspreide cybercriminele infostealer-groepen (die payloads zoals Lumma Stealer verspreiden) als door zeer geavanceerde spionagegroepen van verschillende landen, waaronder de Russische APT28 en COLDRIVER, de Noord-Koreaanse Kimsuky, de Iraanse MuddyWater en de Pakistaanse APT36.

Kunnen antivirussoftware of MFA een ClickFix-aanval tegenhouden?

Traditionele, statische antivirussoftware slaagt er vaak niet in om ClickFix te detecteren, omdat er tijdens de eerste interactie geen schadelijk bestand wordt gedownload dat kan worden gescand. Ook multi-factor authenticatie (MFA) kan een infectie niet voorkomen, omdat de aanval zich rechtstreeks op het actieve eindapparaat richt in plaats van te proberen een inlogsessie bij een webapplicatie te kapen.

Hoe kan ik zien of een CAPTCHA of een ‘fix it’-melding een ClickFix-aanval is?

Een legitieme tool voor menselijke verificatie, zoals Google reCAPTCHA, draait volledig binnen het actieve tabblad van je browser en vereist nooit dat je externe desktopsoftware opent. Elke melding waarin je wordt gevraagd om sneltoetsen zoals Win + R te gebruiken, het venster ‘Uitvoeren’ te openen of tekst in de adresbalk van Verkenner te plakken om een fout op te lossen, is een ClickFix-aanval.