Nieuws, dreigingsinformatie

Open de verkeerde "PDF" en aanvallers krijgen op afstand toegang tot uw pc.

door Pieter Arntz | 5 februari 2026
PDF en RAT

Cybercriminelen achter een campagne met de naam DEAD#VAX gaan nog een stap verder met phishing door malware te verspreiden via virtuele harde schijven die zich voordoen als gewone PDF-documenten. Als u de verkeerde 'factuur' of 'inkooporder' opent, ziet u helemaal geen document. In plaats daarvan Windows een virtuele schijf die stilletjes AsyncRAT installeert, een backdoor-trojan waarmee aanvallers uw computer op afstand kunnen monitoren en besturen.

Het is een tool voor externe toegang, wat betekent dat aanvallers op afstand controle krijgen over het toetsenbord, terwijl traditionele, op bestanden gebaseerde beveiligingen vrijwel niets verdachts op de schijf zien.

Vanuit een hoog niveau bekeken is de infectieketen lang, maar elke stap lijkt op zichzelf net legitiem genoeg om aan informele controles te ontsnappen.

Slachtoffers ontvangen phishing-e-mails die eruitzien als gewone zakelijke berichten, vaak met verwijzingen naar inkooporders of facturen en soms onder de naam van echte bedrijven. De e-mail bevat geen directe bijlage, maar een link naar een bestand dat is gehost op IPFS (InterPlanetary File System), een gedecentraliseerd opslagnetwerk dat steeds vaker wordt misbruikt in phishingcampagnes omdat de inhoud moeilijker te verwijderen is en toegankelijk is via normale webgateways.

Het gekoppelde bestand heeft de extensie PDF en het pictogram van een PDF-bestand, maar is in werkelijkheid een virtueel harde schijfbestand (VHD). Wanneer de gebruiker erop dubbelklikt, Windows het als een nieuw station (bijvoorbeeld station E:) in plaats van een documentviewer te openen. Het koppelen van VHD's is volkomen legitiem Windows , waardoor deze stap minder snel alarmbellen doet rinkelen.

In de gekoppelde schijf bevindt zich wat lijkt op het verwachte document, maar het is in feite eenWindows File (WSF). Wanneer de gebruiker het opent, Windows de code in het bestand Windows in plaats van een PDF weer te geven.

Na enkele controles om analyse en detectie te voorkomen, injecteert het script de payload – AsyncRAT-shellcode – in vertrouwde, door Microsoft ondertekende processen, zoals RuntimeBroker.exe, OneDrive.exe, taskhostw.exeof sihost.exeDe malware schrijft nooit een daadwerkelijk uitvoerbaar bestand naar de schijf. Het bestaat en draait volledig in het geheugen binnen deze legitieme processen, waardoor detectie en uiteindelijk in een later stadium forensisch onderzoek veel moeilijker worden. Het voorkomt ook plotselinge pieken in activiteit of geheugengebruik die de aandacht zouden kunnen trekken.

Voor een individuele gebruiker kan het vallen voor deze phishing-e-mail leiden tot:

  • Theft opgeslagen en ingetypte wachtwoorden, onder meer voor e-mail, bankieren en sociale media.
  • Blootstelling van vertrouwelijke documenten, foto's of andere gevoelige bestanden die rechtstreeks uit het systeem zijn gehaald.
  • Bewaking via periodieke screenshots of, indien geconfigureerd, webcamopnames.
  • Gebruik van de machine als uitvalsbasis om andere apparaten op hetzelfde thuis- of kantoornetwerk aan te vallen.

Hoe blijf ik veilig

Omdat detectie moeilijk kan zijn, is het cruciaal dat gebruikers bepaalde controles uitvoeren:

  • Open geen e-mailbijlagen voordat u bij een betrouwbare bron hebt gecontroleerd of ze legitiem zijn.
  • Zorg ervoor dat u het daadwerkelijke bestandsextensies. Helaas Windows gebruikers Windows om deze te verbergen. Dus terwijl het bestand in werkelijkheid invoice.pdf.vhd de gebruiker zou alleen zien invoice.pdf. Zie hieronder hoe u dit kunt doen.
  • Gebruik een actuele, realtime anti-malwareoplossing die malware kan detecteren die zich in het geheugen verschuilt.

Bestandsextensies weergeven in Windows en 11

Om bestandsextensies weer te geven in Windows en 11:

  • Open Verkenner (Windows + E)
  • Selecteer in Windows Weergaveen vink het vakje voorBestandsextensies aan.
  • In Windows vind je dit onderWeergave > Weergeven > Bestandsextensies.

U kunt ook zoeken naar Opties voor Verkenner om de optie Extensies voor bekende bestandstypen verbergen uit te schakelen.

Raadpleeg dit artikel voor oudere versies van Windows.

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

AI
Een hand reikt naar beneden om een sterretje uit een geschreven wachtwoord te pakken.

Door AI gegenereerde wachtwoorden vormen een veiligheidsrisico

Februari 19, 2026

Door AI gegenereerde wachtwoorden zijn "zeer voorspelbaar" en niet echt willekeurig, waardoor ze gemakkelijker te kraken zijn voor cybercriminelen.

Nieuws
Tenga-logo

Fabrikant van intieme producten Tenga heeft klantgegevens gelekt

Februari 19, 2026

Een phishingaanval op een medewerker van Tenga heeft mogelijk gegevens van Amerikaanse klanten blootgelegd. Klanten moeten alert zijn op phishingpogingen met seksuele chantage als thema.

Datalekken
Betterment-logo

Het datalek bij Betterment is mogelijk ernstiger dan we dachten

Februari 18, 2026

Deze inbreuk lijkt nu veel ernstiger te zijn. De gelekte gegevens bevatten uitgebreide persoonlijke en financiële details die phishers zouden kunnen gebruiken.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting