Nieuws

extensie browsers extensie om gebruikers te misleiden en zichzelf te infecteren

door Pieter Arntz | 20 januari 2026
Laptop met een waarschuwing

Onderzoekers hebben een andere methode gevonden die in de geest van ClickFix wordt gebruikt: CrashFix.

ClickFix-campagnes maken gebruik van overtuigende lokmiddelen – historisch gezien 'Human Verification'-schermen – om de gebruiker te misleiden en een commando uit het klembord te laten plakken. Na valse Windows , videotutorials voor Mac en vele andere varianten, hebben aanvallers nu een extensie geïntroduceerd extensie uw browser opzettelijk laat crashen.

Onderzoekers ontdekten een namaakversie van een bekende adblocker en slaagden erin deze onder de naam 'NexShield – Advanced Protection' in de officiële Chrome Store te krijgen. Strikt genomen biedt het crashen van de browser wel enige bescherming, maar dat is niet wat gebruikers doorgaans zoeken.

Als gebruikers de extensie installeren, belt deze naar huis naar nexsnield[.]com (let op de spelfout) om installaties, updates en verwijderingen bij te houden. De extensie de ingebouwde Alarms API (application programming interface) Chromeom 60 minuten te wachten voordat het kwaadaardige gedrag begint. Door deze vertraging is de kans kleiner dat gebruikers direct het verband leggen tussen de installatie en de daaropvolgende crash.

Na die pauze extensie de extensie een denial-of-service-lus die herhaaldelijk chrome.runtime-poortverbindingen opent, waardoor de bronnen van het apparaat worden uitgeput totdat de browser niet meer reageert en crasht.

Na het herstarten van de browser krijgen gebruikers een pop-up te zien waarin staat dat de browser abnormaal is gestopt – wat waar is, maar niet onverwacht – en waarin instructies worden gegeven om dit in de toekomst te voorkomen.

Het toont de gebruiker de inmiddels klassieke instructies om te openen Win+R, druk op Ctrl+V, en druk op Enter om het probleem te 'verhelpen'. Dit is het typische gedrag van ClickFix. De extensie al een kwaadaardige PowerShell- of cmd-opdracht op het klembord geplaatst. Door de instructies te volgen, voert de gebruiker die kwaadaardige opdracht uit en infecteert hij in feite zijn eigen computer.

Op basis van vingerafdrukcontroles om te zien of het apparaat is aangesloten op het domein, zijn er momenteel twee mogelijke uitkomsten.

Als de machine is aangesloten op een domein, wordt deze behandeld als een bedrijfsapparaat en geïnfecteerd met een Python-trojan voor externe toegang (RAT), genaamd ModeloRAT. Op machines die niet zijn aangesloten op een domein, is de payload momenteel onbekend, aangezien de onderzoekers alleen een "TEST PAYLOAD!!!!"-reactie ontvingen. Dit zou kunnen duiden op voortdurende ontwikkeling of andere fingerprinting, waardoor de testmachine ongeschikt was.

Hoe blijf ik veilig

De extensie op het moment van schrijven niet meer beschikbaar in de Chrome Store, maar zal ongetwijfeld onder een andere naam weer opduiken. Hier zijn een paar tips om veilig te blijven:

  • Als u op zoek bent naar een advertentieblokkering of andere handige browserextensies, zorg er dan voor dat u de echte versie installeert. Cybercriminelen doen zich graag voor als betrouwbare software.
  • Voer nooit code of opdrachten uit die u van websites, e-mails of berichten hebt gekopieerd, tenzij u de bron vertrouwt en het doel van de actie begrijpt. Controleer instructies onafhankelijk. Als een website u vraagt om een opdracht uit te voeren of een technische actie te ondernemen, raadpleeg dan eerst de officiële documentatie of neem contact op met de ondersteuning voordat u verdergaat.
  • Beveilig uw apparaten. Gebruik een up-to-date realtime antimalware-oplossing met een webbeveiligingscomponent.
  • Leer meer over de steeds veranderende aanvalsmethoden. Als je begrijpt dat aanvallen uit onverwachte hoeken kunnen komen en steeds veranderen, blijf je alert. Blijf onze blog lezen!

Pro-tip: de gratis Malwarebytes Browser Guardextensie een zeer effectieve advertentieblokkering en beschermt u tegen kwaadaardige websites. Het waarschuwt u ook wanneer een website iets naar uw klembord kopieert en voegt een klein fragment toe om eventuele opdrachten onbruikbaar te maken.

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

AI
Een hand reikt naar beneden om een sterretje uit een geschreven wachtwoord te pakken.

Door AI gegenereerde wachtwoorden vormen een veiligheidsrisico

Februari 19, 2026

Door AI gegenereerde wachtwoorden zijn "zeer voorspelbaar" en niet echt willekeurig, waardoor ze gemakkelijker te kraken zijn voor cybercriminelen.

Nieuws
Tenga-logo

Fabrikant van intieme producten Tenga heeft klantgegevens gelekt

Februari 19, 2026

Een phishingaanval op een medewerker van Tenga heeft mogelijk gegevens van Amerikaanse klanten blootgelegd. Klanten moeten alert zijn op phishingpogingen met seksuele chantage als thema.

Datalekken
Betterment-logo

Het datalek bij Betterment is mogelijk ernstiger dan we dachten

Februari 18, 2026

Deze inbreuk lijkt nu veel ernstiger te zijn. De gelekte gegevens bevatten uitgebreide persoonlijke en financiële details die phishers zouden kunnen gebruiken.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting