ClickFix – een update
Het wennen aan nieuwe beveiligingsmaatregelen kost tijd. Het duurt soms weken voordat een nieuwe manier van handelen dagelijkse routine is geworden. Binnen enkele ogenblikken wordt diezelfde routine misbruikt: ClickFix speelt in op standaard beveiligingsmaatregelen zoals regelmatig updaten en de CAPTCHA-verificatie om daar vervolgens misbruik van te maken.
Een ‘social engineering’-methode
We zijn inmiddels gewend geraakt om zowel software, zoals de internetbrowser, als hardware, zoals je laptop, opnieuw op te moeten starten voor het installeren van een update. Ook zijn we inmiddels goed geworden in het herkennen van stoplichten, zebrapaden en specifieke voertuigen om te bewijzen dat we menselijk zijn.
Het zijn nu juist deze mechanismen die we terugzien bij ClickFix: het systeem updaten door het gebruik van een specifieke toetsencombinatie, of het bewijzen dat je menselijk bent door bijvoorbeeld stoplichten te herkennen en vervolgens op de "toestaan"-knop te drukken.
Naast het misbruiken van gewenst gedrag zoals het installeren van updates, zien we ook dat er eerst een 'probleem' gecreëerd wordt waarna de 'oplossing' wordt aangeboden. Denk aan de melding: "er is een virus gedetecteerd", gevolgd door "Klik hier om een virusscan te starten".
Het bewust misbruik maken van menselijk handelen noemen we 'social engineering'. In tegenstelling tot het hacken van een systeem wordt er misbruik gemaakt van vertrouwen, nieuwsgierigheid, angst of gezagsgetrouwheid. In dit geval word je misleid en geïnstrueerd om specifieke acties uit te voeren op je systeem. Blijkbaar gebeurt dit met succes: ClickFix is in 2025 uitgegroeid tot de meest toegepaste aanvalsmethode, na phishing.
Wat doet het?
Zodra je de geïnstrueerde acties volgt, wordt er op de achtergrond een of meerdere scripts gedownload en uitgevoerd. Hiervoor wordt gebruik gemaakt van processen zoals powershell.exe, cmd.exe of mshta.exe.
Deze malafide scripts bevatten vervolgens instructies voor het downloaden en installeren van de daadwerkelijke malware. Het is dermate succesvol gebleken dat deze methode wordt gebruikt voor het verspreiden van diverse malwarefamilies:
· AsyncRAT – een 'Remote Access Trojan' die resulteert in volledige controle over geïnfecteerde systemen.
· DanaBot– een modulaire banking-trojan, primair gericht op het stelen van inloggegevens en financiële data, maar ook ingezet als loader voor andere malware.
· Gate – fungeert als traffic distribution system (TDS) of dropper: een 'tussenstation' van waaruit wordt doorverwezen naar de uiteindelijke exploit ofmalware.
· LummaStealer – een infostealer die wordt gebruikt voor het exfiltreren van data, zoals browserdata, crypto-wallets, wachtwoorden en sessietokens.
· NetSupportRAT – een Remote Access Trojan die misbruik maakt van de legitieme NetSupport Manager remote desktop-tool om ongeautoriseerde toegang te krijgen tot geïnfecteerde systemen.
Ook zijn er berichten dat statelijke actoren, zoals het Iraans gelieerde MuddyWater en het Russisch gelieerde APT28, de techniek hebben overgenomen voor cyberspionagecampagnes gericht op overheidsinstellingen en kritieke infrastructuur.
Samenvattend kunnen we concluderen dat ClickFix een methodiek is om gebruikers te misleiden, met als voornaamste doel het installeren van malware.
Wat kunnen we tegen ClickFix doen?
Het trainen van het bewustzijn
In een eerdere publicatie hebben we een combinatie van beschermingsmaatregelen tegen ClickFix beschreven, waaronder het trainen van het bewustzijn en een adequaat 'incident response'-plan ondersteund door continue monitoring.
Het trainen van het bewustzijn is daarbij cruciaal. Door medewerkers te helpen de toegepaste social engineering-technieken te herkennen, daalt het aantal incidenten. Deze aanpak moet echter niet worden overschat: bewustzijnstraining is slechts één verdedigingslinie en geen volledige oplossing.
Technische maatregelen
Een andere laag in de verdedigingsstrategie is het beperken van de toegang tot systeemfuncties die het mogelijk maken om malafide code uit te voeren.
Zo zou het Run-dialoogvenster, toegankelijk via de "Windows+R"-snelkoppeling, niet - of voor zo min mogelijk medewerkers - toegankelijk moeten zijn. Het gebruik van PowerShell-scripts kan geblokkeerd worden, of minstens beperkt tot enkel ondertekende scripts.
Het openstellen van deze mogelijkheden voor elk werkstation en elk standaard gebruikersaccount brengt een enorm risico met zich mee. Wanneer een medewerker via Windows+R een kwaadaardig PowerShell-script kan uitvoeren, is het misleiden van die medewerker het enige wat een cybercrimineel ervan weerhoudt om toegang te verkrijgen. Dergelijke technische beperkingen zijn daarom zeer effectief in het voorkomen van een infectie als gevolg van de ClickFix-methodiek.
Monitoring en incidentresponse
Naast deze beperkingen is continue monitoring essentieel. Binnen de ClickFix-methodiek zijn er verschillende facetten die gelogd worden en dus te monitoren zijn:
· Het begint met het openen van een link, al dan niet bewust, een actie die op het systeem of in de mailomgeving gelogd wordt, afhankelijk van waar deze geïnitieerd is.
· Vanuit daar worden processen op het systeem gestart (het Run-dialoog via "Windows+R", een PowerShell-proces via de ingevoerde opdracht). Ook dit wordt op het systeem gelogd.
· Vanuit deze processen worden aanvullende bestanden gedownload en geïnstalleerd, en afhankelijk van het type malware worden nieuwe verbindingen van en/of naar het systeem tot stand gebracht. Deze netwerkverbindingen worden eveneens gelogd, op systeem- of netwerkniveau.
Zodra verdachte activiteiten worden gedetecteerd door het monitoringssysteem, wordt een incident aangemaakt en start het daarvoor ingerichte 'incidentresponse'-plan.
Conclusie
Een gelaagde verdedigingsstrategie waarin bewustzijnstraining, technische beperkingen en continue monitoring worden gecombineerd, verkleint effectief de kans dat systemen via de ClickFix-methodiek met malware worden geïnfecteerd.
