ClickFix-campagne verleidt gebruikers tot uitvoeren van schadelijke PowerShell-commando's

ClickFix is niet nieuw. Eerder dit jaar dook de techniek al op bij de access broker TA571 en de nep-website-update ClearFake. Inmiddels wordt deze techniek door een groter aantal dreigingsactoren ingezet.

Gebruikers om de tuin leiden

ClickFix speelt in op de drang van gebruikers om problemen snel op te lossen. Het biedt schijnbaar eenvoudige oplossingen die uiteindelijk malware verspreiden. Aanvallers doen zich vaak voor als bekende softwareleveranciers zoals Microsoft Word en Google Chrome, of bootsen branchespecifieke tools na voor bijvoorbeeld transport en logistiek. De campagnes worden verspreid via gecompromitteerde websites, schadelijke documenten, HTML-bijlagen en kwaadaardige URL's.

Een opvallende trend is het gebruik van valse CAPTCHA-controles, waarbij gebruikers moeten bevestigen dat ze geen robot zijn. Cybercriminelen gebruiken hiervoor de open-source toolkit reCAPTCHA Phish. Deze tactieken hebben geleid tot de verspreiding van verschillende malwaretypes, waaronder AsyncRAT, DarkGate, Lumma Stealer en Brute Ratel C4.

Financiële en spionagemotieven

Hoewel ClickFix-campagnes voornamelijk gericht zijn op financieel gewin, wijst onderzoek ook op betrokkenheid bij spionage. Er zijn vermoedens dat de techniek is ingezet tegen overheidsinstanties in Oekraïne en minstens 300 wereldwijde organisaties heeft beïnvloed.

ClickFix is een groeiende en effectieve aanvalstechniek, onder meer doordat traditionele methoden minder succesvol worden. Het benadrukt volgens Proofpoint het belang van menselijk gedrag in cyberbeveiliging. Organisaties moeten prioriteit geven aan bewustwordingstraining, zodat medewerkers deze manipulatieve technieken leren herkennen en vermijden.

Meer informatie is hier beschikbaar.