Nieuws, Oplichting

Valse zoekresultaten voor 'Claude' lokken Mac in de ClickFix-aanval

door Pieter Arntz | 12 mei 2026
Claude-logo

Onderzoekers hebben ontdekt dat cybercriminelen gebruikmaken van gesponsorde zoekresultaten en gedeelde Claude-chats om slachtoffers in een typische ClickFix-aanval te lokken en zo malware op macOS-apparaten te installeren.

ClickFix is een social-engineeringtechniek waarmee gebruikers worden misleid om hun eigen apparaat met malware te infecteren. Gebruikers krijgen de instructie om bepaalde opdrachten uit te voeren waarmee malware wordt gedownload, meestal een infostealer.

De onderzoekers ontdekten dat wanneer gebruikers zoeken op termen als "Claude Mac ", ze mogelijk gesponsorde Google-resultaten te zien krijgen die lijken door te verwijzen naar het legitieme domein claude.ai.

In werkelijkheid leiden de advertenties naar echte, door Claude gedeelde chatgesprekken, die zo zijn opgezet dat ze eruitzien als officiële handleidingen van „Claude Code on Macof Apple Support. Uit onafhankelijk onderzoek van BleepingComputer is gebleken dat er nog een chat bestaat die hetzelfde doel dient. In die chat krijgen slachtoffers de instructie om Terminal te openen en een in Base64 gecodeerde opdracht te plakken, waarmee een loader-shellscript wordt opgehaald van een door de aanvaller beheerde infrastructuur en in het geheugen wordt uitgevoerd.

Vervolgens maakt het script een profiel van het systeem, haalt het een tweede fase van de payload binnen en voert deze uit via osascript, de ingebouwde scriptengine van macOS. Hierdoor krijgt de aanvaller de mogelijkheid om op afstand code uit te voeren (RCE) zonder ooit een traditionele applicatie of binair bestand te plaatsen.

Dit resulteert in een payload in MacSync-stijl die inloggegevens van de browser, cookies, de inhoud van de sleutelhanger en gegevens van cryptowallets verzamelt, deze bundelt en al die informatie via HTTP naar de servers van de aanvaller verstuurt.

Hoe blijf ik veilig

Gebruikers met macOS Tahoe 26.4 of nieuwer krijgen waarschuwingen te zien over mogelijke ClickFix-aanvallen, maar andere gebruikers moeten nog steeds op hun gezond verstand vertrouwen.

Nu ClickFix steeds meer de overhand krijgt en voortdurend nieuwe methoden bedenkt, is het belangrijk om alert en voorzichtig te blijven en jezelf te beschermen.

  • Doe rustig aan.Volg instructies op een webpagina of in een pop-up nietoverhaast op, vooral nietals je wordt gevraagd om opdrachten op je apparaat uit te voeren of code te kopiëren en te plakken. Aanvallers spelen in op een gevoel van urgentie om je kritische denkvermogen te omzeilen, dus wees op je hoede voor pagina’s die je aansporen tot onmiddellijke actie. Geavanceerde ClickFix-pagina’s maken gebruik van aftelklokken, bezoekersaantallen of andere druktechnieken om je tot snelle actie aan te zetten.
  • Voer geen opdrachten of scripts uit die afkomstig zijn van onbetrouwbare bronnen.Voer nooitcode of opdrachten uit die je van websites, e-mails of berichten hebt gekopieerd, tenzij je de bron vertrouwt en begrijpt wat de actie inhoudt.
  • Controleer de instructies zelf. Alseen website je vraagt een opdracht uit te voeren of een technische handeling te verrichten, raadpleeg dan eerst de officiële documentatie of neem contact op met de helpdesk voordat je verdergaat.
  • Beperk het kopiëren en plakken van opdrachten.Door opdrachten handmatigin te voeren in plaats van ze te kopiëren en te plakken, verkleint u het risico dat u onbewust schadelijke code uitvoert die in de gekopieerde tekst verborgen zit.
  • Beveilig uw apparaten. Gebruik een actuele, realtime anti-malwareoplossing met internetbeveiliging. Malwarebytes verbindingen met onveilige websites zoals deze.
    Malwarebytes een van de domeinen die nog steeds actief zijn
  • Blijf op de hoogte van de steeds veranderende aanvalstechnieken.Als je beseft dat aanvallen van onverwachte kanten kunnen komen, kun je beter op je hoede blijven. Blijf onze blog lezen!
  • Blijf uit de buurt van gesponsorde advertenties in de zoekresultaten. Iedereen kan ze kopen en ze er betrouwbaar laten uitzien.

Pro-tip:De gratis Malwarebytes Browser Guard extensie je wanneer een website iets naar je klembord probeert te kopiëren.

Voorkom bedreigingen voordat ze schade kunnen aanrichten.

Malwarebytes Browser Guard automatisch phishingpagina’s en schadelijke websites. Gratis en met één klik te installeren. Voeg het toe aan je browser →

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
JDownloader-logo

Aanvallers hebben de downloads van het installatieprogramma van JDownloader vervangen door malware

Mei 15, 2026

De website van JDownloader is gehackt en via de downloadlinks voor het installatieprogramma is er enkele dagen lang malware verspreid.

AI
Instagram tussen WhatsApp en Instagram

Meta’s verwarrende nieuwe aanpak van chatprivacy

Mei 15, 2026

WhatsApp biedt nu verdwijnende AI-chats aan waarvan Meta zegt dat het ze niet kan lezen. Terwijl Instagram de functie heeft verwijderd die ervoor zorgde dat Meta je berichten niet kon lezen.

Privacy
Yahoo Mail-logo

Waarom Malwarebytes bepaalde omleidingen van Yahoo Mail Malwarebytes

Mei 14, 2026

Sommige gebruikers van Yahoo Mail krijgen mogelijk herhaaldelijk Malwarebytes te zien als gevolg van verbindingen op de achtergrond met verdachte domeinen van derden. Dit is de reden daarvoor.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting