Bugs, Nieuws

Meer dan 700 websites op het gebied van onderwijs en technologie zijn gekaapt tijdens een grootschalige ClickFix-malwarecampagne

door Pieter Arntz | 26 mei 2026
ClickFix bootst Windows na

Aanvallers maken misbruik van een ernstig beveiligingslek in het Ghost Content Management System (CMS) om meer dan 700 legitieme websites te kapen en een valse Cloudflare-verificatiestap in te voegen die bezoekers ertoe verleidt een Windows uit te voeren waarmee malware wordt geïnstalleerd.

Deze social-engineeringcampagnes – waarbij websitebezoekers worden misleid om schadelijke opdrachten op hun systemen uit te voeren – staan algemeen bekend als ‘ClickFix’-aanvallen. In dit geval hebben cybercriminelen websites van vertrouwde organisaties, waaronder universiteiten en technologiebedrijven, ingezet als verspreidingsplatforms voor de malwarecampagne.

Meer dan 700 door Ghost aangedreven websites zijn gehackt via een bekend SQL-injectie-beveiligingslek met het nummer CVE-2026-26980. De aanvallers maakten gebruik van dit beveiligingslek om beheerders-API-sleutels te stelen en ongemerkt kwaadaardige JavaScript-code in berichten en pagina’s op de getroffen websites te injecteren.

Onderzoekers hebben ontdekt dat het geïnjecteerde script een ClickFix-stroom in de tweede fase laadt, waardoor bezoekers een vals verificatievenster van Cloudflare of CAPTCHA te zien krijgen.

Voorbeeld van een valse Cloudflare-verificatie
Voorbeeld van een valse Cloudflare-verificatie

In plaats van een gewoon selectievakje vraagt de pagina gebruikers om een commando te kopiëren en in het Windows -venster Windows of in PowerShell te plakken, waardoor ze in feite worden misleid om malware op hun eigen systemen te installeren.

Informatie voor websitebeheerders

Centraal in deze campagne staat een ernstig SQL-injectiefout in de Content API van Ghost. De onderzoekers merkten op:

“Zonder enige authenticatie kan een aanvaller via dit beveiligingslek rechtstreeks de inhoud van de database inzien, inclusief de Admin API-sleutel die wordt gebruikt om de Ghost Admin API aan te roepen.”

Het beveiligingslek treft Ghost-versies 3.24.0 tot en met 6.19.0 en kan worden misbruikt zonder dat men hoeft in te loggen.

Er is nu een gepatchte versie beschikbaar, die zo snel mogelijk moet worden geïnstalleerd. Niet alleen vanwege de ClickFix-campagne; zodra aanvallers een Admin API-sleutel hebben gestolen, kunnen ze berichten bewerken, verwijderen of aanmaken, scripts injecteren, thema’s kapen en op andere manieren knoeien met inhoud die zichtbaar is voor gebruikers.

Hoe blijf ik veilig

Deze campagne zal waarschijnlijk bijzonder effectief zijn, omdat de instructies worden gepresenteerd als onschuldige technische stappen, zoals ‘controleer of je een mens bent’, ‘herstel je verbinding’ of ‘ga verder naar de site’. Erger nog: de inhoud verschijnt op websites die gebruikers al vertrouwen.

Nu ClickFix welig tiert – en het er niet naar uitziet dat dit snel zal veranderen – is het belangrijk om alert, voorzichtig en beschermd te zijn.

  • Doe rustig aan.Volg instructies op een webpagina nietzomaar op, vooral nietals je wordt gevraagd om opdrachten op je apparaat uit te voeren of code te kopiëren en te plakken. Aanvallers spelen in op een gevoel van urgentie om je kritische denkvermogen te omzeilen, en veel ClickFix-pagina’s maken gebruik van aftelklokken, valse bezoekersaantallen of andere druktechnieken om je tot snelle actie aan te zetten.
  • Voer geen opdrachten of scripts uit die afkomstig zijn van onbetrouwbare bronnen.Voer nooitcode of opdrachten uit die je van websites, e-mails of berichten hebt gekopieerd, tenzij je de bron vertrouwt en begrijpt wat het doel van de handeling is. Als een website je vraagt een opdracht uit te voeren of een technische handeling te verrichten, raadpleeg dan eerst de officiële documentatie of neem contact op met de helpdesk voordat je verdergaat.
  • Wees voorzichtig bij het kopiëren en plakken van opdrachten. Aanvallers verbergen schadelijke code vaak in de tekst op het klembord. Door opdrachten handmatig in te typen in plaats van ze te kopiëren en te plakken, verklein je het risico dat je onbewust verborgen schadelijke code uitvoert.
  • Beveilig uw apparaten. Gebruikeen up-to-date, realtimeantimalware-oplossingmet een webbeveiligingscomponent.
  • Blijf op de hoogte van de steeds veranderende aanvalstechnieken.Cybercriminelen passen hun methoden voortdurend aan, en bewustzijn blijft een van uw beste verdedigingsmiddelen, dus blijf onze blog lezen!

Pro-tip:Wist je dat de gratis Malwarebytes Browser Guard extensie wanneer een website iets naar je klembord probeert te kopiëren?

Voorkom bedreigingen voordat ze schade kunnen aanrichten.

Malwarebytes Browser Guard automatisch phishingpagina’s en schadelijke websites. Gratis en met één klik te installeren. Voeg het toe aan je browser →

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
week in veiligheid

Een week in de beveiliging (mei 18 – mei 24)

Mei 25, 2026

Een overzicht van de onderwerpen die we in de week van 18 tot en met 24 mei 2026 hebben behandeld

Insecten
Chrome logo

Werk Chrome bij: door kritieke fouten kunnen aanvallers mogelijk code uitvoeren

Mei 22, 2026

Deze Chrome verhelpt kritieke kwetsbaarheden die aanvallers via kwaadaardige websites zouden kunnen misbruiken, maar niet de kwetsbaarheid in „Browser Fetch“.

Insecten
Defender-logo

Er wordt in het wild misbruik gemaakt van kwetsbaarheden in Microsoft Defender

Mei 21, 2026

CISA heeft zeven bekende kwetsbaarheden die al zijn misbruikt toegevoegd aan zijn KEV-catalogus, waaronder twee kwetsbaarheden in Microsoft Defender.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting