Cybersecurity-onderzoekers vestigen de aandacht op een snode campagne die zich richt op WordPress-sites om kwaadaardige JavaScript-injecties te maken die zijn ontworpen om gebruikers om te leiden naar schetsmatige sites.
“Sitebezoekers krijgen inhoud geïnjecteerd die drive-by-malware is, zoals valse Cloudflare-verificatie”, zei Sucuri-onderzoeker Puja Srivastava in een analyse die vorige week werd gepubliceerd.
Het websitebeveiligingsbedrijf zei dat het een onderzoek was begonnen nadat een van de WordPress-sites van zijn klant verdacht JavaScript van derden aan sitebezoekers had aangeboden, en uiteindelijk ontdekte dat de aanvallers kwaadaardige wijzigingen hadden aangebracht in een themagerelateerd bestand (“functions.php”).
De code die in ‘functions.php’ is ingevoegd, bevat verwijzingen naar Google Ads, waarschijnlijk in een poging detectie te omzeilen. Maar in werkelijkheid functioneert het als een externe lader door een HTTP POST-verzoek naar het domein “brazilc(.)com” te sturen, dat op zijn beurt reageert met een dynamische payload die twee componenten bevat:
- Een JavaScript-bestand dat wordt gehost op een externe server (“porsasystem(.)com”), waarnaar op het moment van schrijven op 17 websites wordt verwezen en dat code bevat om site-omleidingen uit te voeren
- Een stukje JavaScript-code dat een verborgen iframe van 1×1 pixels creëert, waarin het code injecteert die legitieme Cloudflare-middelen nabootst, zoals “cdn-cgi/challenge-platform/scripts/jsd/main.js” – een API die een kernonderdeel is van zijn botdetectie- en uitdagingsplatform
Het is vermeldenswaard dat het domein “porsasystem(.)com” is gemarkeerd als onderdeel van een verkeersdistributiesysteem (TDS) genaamd Kongtuke (ook bekend als 404 TDS, Chaya_002, LandUpdate808 en TAG-124).
Volgens informatie gedeeld door een account met de naam “monitorsg” op Mastodon op 19 september 2025 begint de infectieketen met gebruikers die een gecompromitteerde site bezoeken, resulterend in de uitvoering van “porsasystem(.)com/6m9x.js”, wat vervolgens leidt naar “porsasystem(.)com/js.php” om de slachtoffers uiteindelijk naar ClickFix-stijl pagina’s te leiden voor de verspreiding van malware.
De bevindingen illustreren de noodzaak om WordPress-sites te beveiligen en ervoor te zorgen dat plug-ins, thema’s en websitesoftware up-to-date worden gehouden, sterke wachtwoorden afdwingen, de sites scannen op afwijkingen en onverwachte beheerdersaccounts die zijn aangemaakt om blijvende toegang te behouden, zelfs nadat de malware is gedetecteerd en verwijderd.
Maak ClickFix-pagina’s met behulp van IUAM ClickFix Generator
De onthulling komt op het moment dat Palo Alto Networks Unit 42 een phishing-kit met de naam IUAM ClickFix Generator heeft beschreven, waarmee aanvallers gebruikers kunnen infecteren met malware door gebruik te maken van de ClickFix social engineering-techniek en aanpasbare landingspagina’s kunnen bedenken door browserverificatie-uitdagingen na te bootsen die vaak worden gebruikt om geautomatiseerd verkeer te blokkeren.
“Met deze tool kunnen bedreigingsactoren zeer aanpasbare phishing-pagina’s maken die het challenge-response-gedrag nabootsen van een browserverificatiepagina die gewoonlijk wordt ingezet door Content Delivery Networks (CDN’s) en cloudbeveiligingsproviders om zich te verdedigen tegen geautomatiseerde bedreigingen”, aldus beveiligingsonderzoeker Amer Elsad. “De vervalste interface is ontworpen om legitiem over te komen voor de slachtoffers, waardoor de effectiviteit van het lokmiddel wordt vergroot.”
De op maat gemaakte phishing-pagina’s bieden ook mogelijkheden om het klembord te manipuleren, een cruciale stap in de ClickFix-aanval, en om het gebruikte besturingssysteem te detecteren om de infectievolgorde aan te passen en compatibele malware aan te bieden.
In ten minste twee verschillende gevallen zijn bedreigingsactoren gedetecteerd met behulp van pagina’s die met de kit zijn gegenereerd om informatiestelers in te zetten, zoals DeerStealer en Odyssey Stealer, waarvan de laatste is ontworpen om Apple macOS-systemen aan te vallen.
De opkomst van de IUAM ClickFix Generator draagt bij aan een eerdere waarschuwing van Microsoft voor een toename van het aantal commerciële ClickFix-bouwers op ondergrondse forums sinds eind 2024. Een ander opmerkelijk voorbeeld van een phishing-kit waarin het aanbod is geïntegreerd, is Impact Solutions.
“De kits bieden de mogelijkheid om landingspagina’s te maken met een verscheidenheid aan beschikbare lokmiddelen, waaronder Cloudflare”, merkte Microsoft in augustus 2025 op. “Ze bieden ook de constructie van kwaadaardige opdrachten die gebruikers in het Windows Run-dialoogvenster kunnen plakken. Deze kits beweren dat ze de omzeiling van antivirus- en webbescherming garanderen (sommige beloven zelfs dat ze Microsoft Defender SmartScreen kunnen omzeilen), evenals persistentie van de payload.”
Het spreekt voor zich dat deze tools de toegangsdrempel voor cybercriminelen verder verlagen, waardoor ze zonder veel moeite of technische expertise op grote schaal geavanceerde, multi-platform aanvallen kunnen uitvoeren.
ClickFix wordt stealthy via cachesmokkel
De bevindingen volgen ook op de ontdekking van een nieuwe campagne die de ClickFix-aanvalsformule heeft geïnnoveerd door gebruik te maken van een stiekeme techniek die cache-smokkel wordt genoemd om onder de radar te blijven, in plaats van het expliciet downloaden van kwaadaardige bestanden op de doelhost.
“Deze campagne verschilt van eerdere ClickFix-varianten doordat het kwaadaardige script geen bestanden downloadt en niet met internet communiceert”, zegt Marcus Hutchins, hoofdonderzoeker van de dreiging van Expel. “Dit wordt bereikt door de cache van de browser te gebruiken om preventief willekeurige gegevens op de computer van de gebruiker op te slaan.”
Bij de door het cyberbeveiligingsbedrijf gedocumenteerde aanval doet de ClickFix-themapagina zich voor als een Fortinet VPN Compliance Checker, waarbij gebruik wordt gemaakt van FileFix-tactieken om gebruikers te misleiden zodat ze de Windows File Explorer starten en een kwaadaardig commando in de adresbalk plakken om de uitvoering van de payload te activeren.
De onzichtbare opdracht is ontworpen om een PowerShell-script uit te voeren via conhost.exe. Wat het script onderscheidt, is dat het geen extra malware downloadt en niet communiceert met een door een aanvaller bestuurde server. In plaats daarvan voert het een versluierde lading uit die overgaat als een JPEG-afbeelding en al in de cache van de browser wordt opgeslagen wanneer de gebruiker op de phishing-pagina terechtkomt.
“Noch de webpagina, noch het PowerShell-script downloadt expliciet bestanden”, legt Hutchins uit. “Door simpelweg de browser de valse ‘afbeelding’ te laten cachen, kan de malware een volledig zip-bestand op het lokale systeem krijgen zonder dat de PowerShell-opdracht webverzoeken hoeft te doen.”
“De implicaties van deze techniek zijn zorgwekkend, omdat cache-smokkel een manier kan zijn om beveiligingen te omzeilen die anders kwaadaardige bestanden zouden onderscheppen terwijl ze worden gedownload en uitgevoerd. Een onschadelijk ogend ‘image/jpeg’-bestand wordt gedownload, waarna de inhoud ervan wordt uitgepakt en vervolgens wordt uitgevoerd via een PowerShell-opdracht verborgen in een ClickFix-phishing-lokmiddel.”
