ClickFix: detecteren en voorkomen van een groeiende social engineering-techniek
Je bezoekt de website van een lokale business om openingsuren te controleren. Toch eerst even bewijzen dat je geen robot bent. Een vertrouwd CAPTCHA-scherm. Correct logo, correcte opmaak. Maar na het aanvinken vraagt het dit: druk op Windows+R, druk op CTRL+V en druk op Enter. Voor je het weet heb je een kwaadaardig script uitgevoerd op jouw computer. Dit is Clickfix.
Wat enkele jaren geleden nog een eerder uitzonderlijke techniek was, zien we vandaag steeds vaker terugkomen in incidenten. Ook binnen het Jarviss SOC merken we een stijging van social engineering-aanvallen die misbruik maken van legitieme websites en vertrouwde gebruikersinteracties zoals CAPTCHA-verificaties. De inzichten die hieruit voortkomen nemen we mee in onze communicatie naar klanten, zodat zij op de hoogte blijven van relevante ontwikkelingen binnen het dreigingslandschap.
Hoe het werkt
Op het moment dat de pagina laadt, kopieert JavaScript een PowerShell-commando naar het klembord van de gebruiker. De site zelf is vaak echt: gecompromitteerd via een geïnjecteerd extern script dat de nep-CAPTCHA laadt. Het domein klopt, het SSL-certificaat staat er.
Het commando haalt een tweede payload op van een externe server en voert die direct in geheugen uit, zonder iets naar schijf te schrijven. Typische eindpayloads zijn infostealers zoals Lumma, AMOS of MacSync, gericht op browsercookies, opgeslagen wachtwoorden en sessietokens.
Securitysoftware ziet deze actie vaak wel, maar onderneemt niet meteen actie, omdat de gebruiker de uitvoering zelf initieert. Vanuit EDR-perspectief ziet het eruit als iemand die gewoon PowerShell opent. Met genoeg indicators zal de EDR toch actie ondernemen, al heeft de malware vaak al 10 of 20 seconden gehad om credentials te vinden of persistentie op te zetten.
Wat je vandaag al kunt doen tegen ClickFix
Technische middelen
De uitdaging bij ClickFix is dat veel beveiligingscontroles zijn ontworpen om verdachte bestanden of ongewenste code-uitvoering te detecteren. Bij ClickFix start de gebruiker de uitvoering zelf. Daardoor verschuift de focus van malwaredetectie naar het herkennen en beperken van misbruik van legitieme systeemtools.
Een eerste stap is nagaan welke scripttools daadwerkelijk nodig zijn binnen de organisatie. Op Windows zijn PowerShell, mshta en script hosts vaak nog breed beschikbaar, terwijl slechts een beperkte groep gebruikers ze nodig heeft. Op macOS geldt hetzelfde voor Terminal en AppleScript via osascript. Hoe kleiner die aanvalsoppervlakte, hoe lager de kans dat een aanval succesvol is wanneer een gebruiker toch de instructies volgt.
Daarnaast is het belangrijk om het principe van least privilege toe te passen. Gebruikers zouden geen lokale administratorrechten mogen hebben tenzij dit nodig is voor hun functie. Wanneer een gebruiker met beperkte rechten een ClickFix-instructie uitvoert, wordt de impact van een mogelijke compromitering vaak beperkt omdat de aanvaller minder mogelijkheden heeft om software te installeren, systeeminstellingen te wijzigen of persistentie te verkrijgen.
Gebruikers
Voor awareness is het zinvol om de boodschap eenvoudig te houden. Gebruikers hoeven niet te weten hoe PowerShell of AppleScript werkt. Ze moeten slechts één regel onthouden: geen enkele legitieme website vraagt je om een opdracht te plakken in Run, PowerShell, Terminal of een ander systeemvenster. Die tip blijkt in de praktijk vaak effectiever dan een uitgebreide technische uitleg.
De eerste minuten na uitvoering bepalen vaak of een aanvaller enkel toegang krijgt tot een endpoint of ook sessietokens, browsercookies en cloudaccounts buitmaakt. Gebruikers moeten weten dat het best snel gemeld wordt, zelfs wanneer ze de instructies al hebben uitgevoerd. EDR-oplossingen blokkeren dergelijke scripts vaak voordat gegevens kunnen worden geëxfiltreerd. Toch kan een melding het verschil maken wanneer de EDR-oplossing niet ingrijpt of de aanval niet detecteert. Awareness blijft echter cruciaal. Goed geïnformeerde gebruikers kunnen verdachte situaties herkennen en melden, waardoor de aanval in zijn geheel vermeden wordt.
Bijdragen aan een veiliger internet
Wanneer we gecompromitteerde websites identificeren die ClickFix-content verspreiden, contacteren we waar mogelijk de betrokken website-eigenaars om hen bewust te maken van de compromitering. Deze organisaties zijn zich vaak niet bewust van het misbruik van hun website. Op die manier proberen we verdere verspreiding te beperken en dragen we ons steentje bij in de strijd tegen cybercriminaliteit.
Author: Louis Hertleer