Volgens het nieuwste Digital Defense Report 2025 van Microsoft hebben cybercriminelen een nieuwe aanvalstruc gevonden, genaamd ClickFix. Het is een social engineering-tactiek die gebruikers ervan overtuigt zichzelf te infecteren. Bovendien is benadrukt dat deze tactiek een van de gebruikelijke methoden is geworden die door hackers worden gebruikt om initiële toegang te verkrijgen.
ClickFix-aanvallen komen vaker voor dan u denkt
Sinds begin 2024 rapporteert Microsoft een scherpe stijging in het aantal op ClickFix gebaseerde aanvallen. De aanvalsmethode is gebaseerd op talloze valse pop-ups, ondersteuningsberichten of systeemwaarschuwingen die gebruikers ertoe aanzetten een probleem te ‘oplossen’ door code te kopiëren en in het Windows Run-vak of de terminal te plakken. Zodra de prompt of de code is uitgevoerd, worden schadelijke ladingen rechtstreeks naar het geheugen van het apparaat gedownload.
Omdat de malware rechtstreeks in het geheugen wordt geïnjecteerd, laat deze weinig sporen achter die door de antivirussoftware kunnen worden gedetecteerd. Een van de uitgelichte voorbeelden was het incident in 2024 waarbij Booking.com werd nagebootst om phishing-campagnes uit te voeren. Slachtoffers ontvingen valse reisbevestigingsmails die naar een gekloonde website leidden met een CAPTCHA-prompt.
Hier volgen enkele veelvoorkomende manieren om beschermd te blijven tegen ClickFix-aanvallen
Microsoft meldde dat ClickFix verantwoordelijk was voor 47% van alle initiële toegangsincidenten die het afgelopen jaar door het Defender Experts-team zijn geregistreerd. De techgigant adviseert organisaties en individuen om te focussen op gedragsbewustzijn. Vooral omdat wat ClickFix bijzonder gevaarlijk maakt, is dat gebruikers zichzelf onbewust infecteren.
Er wordt voorgesteld dat gebruikers en werknemers worden getraind om nooit code uit niet-geverifieerde bronnen te kopiëren of uit te voeren, zelfs als de prompt legitiem lijkt. Microsoft heeft er bij IT-teams op aangedrongen om PowerShell-logboekregistratie in te schakelen en klembord-naar-terminal-acties te monitoren. Teams moeten ook beleid voor browserbeveiliging implementeren om kwaadaardige scripts te blokkeren voordat ze worden uitgevoerd. Gebruikers moeten voorzorgsmaatregelen volgen, zoals het verifiëren van de bron of het vermijden van installaties van derden, tenzij dit verplicht is. Het is een zeldzaam geval waarbij alleen voorzorgsmaatregelen een echte redder in nood kunnen zijn.
