Nieuws

ClickFix heeft nslookup-commando's toegevoegd aan zijn arsenaal voor het downloaden van RAT's.

door Pieter Arntz | 16 februari 2026
ClickFix bootst Windows na

ClickFix-malwarecampagnes zijn erop gericht om het slachtoffer te misleiden zodat hij zijn eigen computer infecteert.

Blijkbaar hebben de criminelen achter deze campagnes ontdekt dat mshta- en Powershell-commando's steeds vaker worden geblokkeerd door beveiligingssoftware, dus hebben ze een nieuwe methode ontwikkeld waarbij ze gebruikmaken van nslookup.

De eerste fasen zijn vrijwel hetzelfde als we eerder hebben gezien: valse CAPTCHA-ins tructies om te bewijzen dat je geen bot bent, het oplossen van niet-bestaande computerproblemen of updates, het veroorzaken van browsercrashes en zelfs instructievideo's.

Het idee is om slachtoffers kwaadaardige commando's te laten uitvoeren om hun eigen computer te infecteren. Het kwaadaardige commando wordt vaak gekopieerd naar het klembord van het slachtoffer met instructies om het te kopiëren naar het Windows of de Mac .

Nslookup is een ingebouwde tool om het internet-'telefoonboek' te gebruiken, en de criminelen misbruiken dat telefoonboek in feite om instructies en malware binnen te smokkelen in plaats van alleen een adres op te zoeken.

Het is bedoeld om netwerkproblemen op te lossen, te controleren of DNS correct is geconfigureerd en vreemde domeinen te onderzoeken, niet om programma's te downloaden of uit te voeren. Maar de criminelen hebben een server geconfigureerd om te reageren met gegevens die zo zijn opgesteld dat een deel van het 'antwoord' in feite een ander commando of een verwijzing naar malware is, en niet alleen een normaal IP-adres.

Microsoft gaf de volgende voorbeelden van kwaadaardige commando's:

Voorbeelden van het nslookup-commando

Deze commando's starten een infectieketen die een ZIP-archief van een externe server downloadt. Uit dat archief haalt het een kwaadaardig Python-script dat routines uitvoert om verkenningen uit te voeren, ontdekkingscommando's uit te voeren en uiteindelijk een Visual Basic te plaatsen dat ModeloRAT plaatst en uitvoert.

ModeloRAT is een op Python gebaseerde remote access trojan (RAT) waarmee aanvallers hands-on controle krijgen over een geïnfecteerde Windows

Kort gezegd hebben cybercriminelen weer een nieuwe manier gevonden om een vertrouwd technisch hulpmiddel te gebruiken en dit in het geheim de volgende stap van de aanval te laten uitvoeren, allemaal getriggerd doordat het slachtoffer schijnbaar onschuldige kopieer- en plakinstructies opvolgt. Op dat moment kunnen ze de controle over hun systeem uit handen geven.

Hoe blijf ik veilig

Nu ClickFix welig tiert – en het er niet naar uitziet dat dit snel zal veranderen – is het belangrijk om alert, voorzichtig en beschermd te zijn.

  • Doe rustig aan.Haast u nietom instructies op een webpagina of prompt op te volgen, vooral als u wordt gevraagd om opdrachten op uw apparaat uit te voeren of code te kopiëren en te plakken. Aanvallers maken gebruik van urgentie om uw kritische denkvermogen te omzeilen, dus wees voorzichtig met pagina's die u aansporen tot onmiddellijke actie. Geavanceerde ClickFix-pagina's voegen aftellingen, gebruikers tellers of andere druktactieken toe om u snel te laten handelen.
  • Voer geen opdrachten of scripts uit van onbetrouwbare bronnen.Voer nooitcode of opdrachten uit die u van websites, e-mails of berichten hebt gekopieerd, tenzij u de bron vertrouwt en het doel van de actie begrijpt. Controleer instructies onafhankelijk. Als een website u vraagt om een opdracht uit te voeren of een technische actie te ondernemen, raadpleeg dan eerst de officiële documentatie of neem contact op met de ondersteuning voordat u verdergaat.
  • Beperk het gebruik van kopiëren en plakken voor opdrachten.Door opdrachten handmatigin te voeren in plaats van te kopiëren en te plakken, verkleint u het risico dat u onbewust schadelijke payloads uitvoert die in gekopieerde tekst zijn verborgen.
  • Beveilig uw apparaten. Gebruikeen up-to-date, realtimeantimalware-oplossingmet een webbeveiligingscomponent.
  • Leer meer over de steeds veranderende aanvalsmethoden.Als je begrijpt dat aanvallen uit onverwachte hoeken kunnen komen en steeds veranderen, blijf je alert. Blijf onze blog lezen!

Pro tip:Wist je dat de gratis Malwarebytes Browser Guard extensie wanneer een website iets naar je klembord probeert te kopiëren?

We rapporteren niet alleen over bedreigingen, we helpen ook uw volledige digitale identiteit te beveiligen.

Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Bescherm uw persoonlijke gegevens en die van uw gezin door identiteitsbescherming te gebruiken.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

AI
Een hand reikt naar beneden om een sterretje uit een geschreven wachtwoord te pakken.

Door AI gegenereerde wachtwoorden vormen een veiligheidsrisico

Februari 19, 2026

Door AI gegenereerde wachtwoorden zijn "zeer voorspelbaar" en niet echt willekeurig, waardoor ze gemakkelijker te kraken zijn voor cybercriminelen.

Nieuws
Tenga-logo

Fabrikant van intieme producten Tenga heeft klantgegevens gelekt

Februari 19, 2026

Een phishingaanval op een medewerker van Tenga heeft mogelijk gegevens van Amerikaanse klanten blootgelegd. Klanten moeten alert zijn op phishingpogingen met seksuele chantage als thema.

Datalekken
Betterment-logo

Het datalek bij Betterment is mogelijk ernstiger dan we dachten

Februari 18, 2026

Deze inbreuk lijkt nu veel ernstiger te zijn. De gelekte gegevens bevatten uitgebreide persoonlijke en financiële details die phishers zouden kunnen gebruiken.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting