Klik op Reparerende truc die mensen voor de gek houdt om handmatig malware uit te voeren, heeft stilletjes een backoffice ontwikkeld.
Nieuw onderzoek toont aan dat de kwaadaardige commando’s achter de neppagina’s “bewijs dat je een mens bent” nu worden uitgedeeld door API-gestuurde servers die elke bezoeker dezelfde malware in een andere vermomming geven. Uit hetzelfde onderzoek kwam ook een nieuwe leveringsmethode naar voren die gebouwd was om de scriptscans van Windows te omzeilen.
Beveiligingsonderzoeker Bert-Jan Pals heeft verschillende ClickFix-platforms uit elkaar gehaald en ongeveer 3.000 payloads van live campagnes geanalyseerd. Hij presenteerde de bevindingen begin juni op OrangeCon en publiceerde de details op 30 juni.
ClickFix is eenvoudig van opzet. Een booby-trapped-pagina toont een valse CAPTCHA of fout, verborgen JavaScript plaatst een opdracht op uw klembord en de pagina vertelt u dat u op een toetscombinatie moet drukken, plakken en op Enter moet drukken. U voert de malware zelf uit.
Er is meestal geen exploit bij de eerste stap en vaak geen bestand dat door traditionele antivirusprogramma’s kan worden gemarkeerd, dus conventionele e-mail- en eindpuntcontroles hoeven minder te worden onderschept.
Het werkt zo goed dat ESET een sprong van 517% heeft gemeten vanaf eind 2024 naar de eerste helft van 2025, en het Digital Defense Report 2025 van Microsoft schatte dit op 47% van de gevallen van initiële toegang die door het Defender Experts-team werden gezien.
De techniek heeft nu een eigen vermelding in MITRE ATT&CK, T1204.004.
Ladingen op bestelling gemaakt
Het nieuwe deel is de manier waarop de ladingen worden geproduceerd. Vrienden ontdekten dat de pagina’s hun opdrachten haalden van backend-servers die werken als een on-demand-service: ze nemen verzoeken aan, controleren een toegangstoken, loggen de beller en sturen elke keer een vers gecodeerde opdracht terug.
Hij vroeg één server om 100 payloads en kreeg 100 verschillende, verpakt in een wisselende mix van Base64, AES, TripleDES, Rijndael en Deflate. Verwijder de verpakking en, althans voorlopig, pakken ze allemaal uit met hetzelfde script, dat in het geheugen wordt uitgevoerd via een PowerShell-runspace.
De vermomming is wegwerpbaar; de malware eronder is dat niet, hoewel Pals waarschuwt dat de kernlading waarschijnlijk binnenkort per slachtoffer zal veranderen. Hetzelfde platform bedient kunstaas in 25 talen en stemt de opdracht af op het besturingssysteem van de bezoeker, waarbij macOS-versies naast Windows draaien.

Het ‘as-a-service’-label is niet alleen maar branding. ESET heeft criminelen gevolgd die kant-en-klare ClickFix-builders aan andere aanvallers verkochten. Pals ontdekte een parallelle commercialisering een laag dieper, in de manier waarop elke lading op verzoek wordt geproduceerd.
Een stillere manier om binnen te komen: de Downloads-mapmethode
De tweede bevinding is een direct antwoord voor verdedigers die naar het klembord kijken. In plaats van een kwaadaardige opdracht te kopiëren, kopiëren de nieuwere pagina’s een onschadelijk ogende opdracht.

De pagina downloadt stilletjes een bestand naar de map Downloads en het klembord krijgt een korte “orkestrator” -regel die dat bestand verplaatst, uitpakt en het script erin uitvoert. Omdat de geplakte regel alleen die orkestrator is en niet de payload zelf, is deze zo gebouwd dat hij voorbij AMSI kan gaan, de Windows-functie waarmee antivirusscripts kunnen worden gescand voordat ze worden uitgevoerd. De slechte code bevindt zich in het gedownloade bestand, aan de zijkant. De waargenomen klembordlijn zag er als volgt uit:
powershell -C “$t=$env:TMP;Move-Item “$HOMEDownloadstmp.zip” “$t7947.zip”;tar -xf “$t7947.zip” -C “$t”;conhost –headless powershell -ExecutionPolicy Bypass -File “$ttmp.ps1” # “* Ik ben geen robot reCAPTCHA Verificatie-ID:7947 *””
De executie is ook in de richting van stealth geëvolueerd. Het originele lokmiddel uit 2024 vertelde mensen dat ze op Windows+R moesten drukken en in het vak Uitvoeren moesten plakken. Een nieuwere versie, gebruikelijk in 2025 en in 2026, verwijst in plaats daarvan naar Windows+X en de Windows Terminal. Terminalgebruik ziet er gewoner uit en laat, in tegenstelling tot het vak Uitvoeren, geen spoor achter in de RunMRU-registersleutel die onderzoekers normaal gesproken controleren.
ClickFix is al een tijdje geleden niet langer een tool die alleen voor criminelen bedoeld is. Proofpoint bond door de staat gesteunde groepen uit Rusland, Iran en Noord-Korea, waaronder APT28, MuddyWater en Kimsuky, aan campagnes die ClickFix in hun bestaande infectieketens lieten vallen, en Noord-Koreaanse bemanningen bouwden een nep-job ‘ClickFake Interview’-versie om cryptocurrency-werkers te raken.
De truc heeft verwante familieleden voortgebracht, zoals FileFix en DownloadFix die leunen op andere vertrouwde Windows-tools. De schaal is ook niet theoretisch: beveiligingsbedrijf Expel heeft één ClearFake-golf gevonden die sinds eind augustus 2025 waarschijnlijk maar liefst 147.521 systemen heeft geïnfecteerd.
Waar verdedigers naar moeten kijken
De defensieve les is niet veranderd. De details hebben. De betrouwbare signalen zijn procesketens, geen klembordtekst: explorer.exe of WindowsTerminal.exe lancering powershell.exe, cmd.exeof msiexec.exe en direct daarna contact opnemen met het netwerk.
Dat waren de meest voorkomende draagraketten in de gegevens van Pals, met PowerShell en cmd elk op ongeveer 39% en msiexec op de hielen met 34%.
Gedrags-EDR, regels voor applicatiecontrole die beperken welke programma’s scriptinterpreters kunnen aanroepen, en eenvoudige gebruikersbegeleiding (‘plak nooit een opdracht die je moest uitvoeren in het vak Uitvoeren of een terminal’) allemaal nog steeds van kracht. De Downloads-mapmethode voegt nog iets toe om op te jagen: een onschuldig ogende oneliner die de map Downloads raakt en vervolgens een verborgen PowerShell voortbrengt.
Pals vermeldde ook drie payload-servers die tijdens het onderzoek werden gezien:
- stripster(.)lat
- babybon(.)cfd
- merkantalolol(.)azië
Een verbinding met een van deze bewijst geen infectie. Het betekent dat een opdracht hoogstwaarschijnlijk op iemands klembord is geplaatst.
Het oordeel van Pals over de techniek is bot: “ClickFix is here to stay.” Het patroon in zijn onderzoek is dat ClickFix verschuift op het moment dat verdedigers de achterstand inhalen, en de overstap van eenmalige scripts naar on-demand payload-servers zorgt ervoor dat die aanpassing goedkoop kan worden herhaald.
Het volgende dat de moeite waard is om te bekijken is of de malware zelf, en niet alleen de verpakking, van het ene slachtoffer naar het andere begint te veranderen.