Microsoft ziet het aantal geslaagde ClickFix-aanvallen bij zakelijke klanten oplopen: aanvallers verleiden medewerkers om zelf een kwaadaardig commando uit te voeren, waarna de infostealer ACR Stealer wachtwoorden, sessietokens en bedrijfsdocumenten wegsluist.
De inzet is direct. ACR Stealer pikt niet alleen opgeslagen wachtwoorden, maar ook sessiecookies en authenticatietokens: de digitale bewijsjes waarmee je browser al is ingelogd. Wie die buitmaakt, hoeft je wachtwoord niet te kraken en loopt in veel gevallen zo langs je meervoudige verificatie. Precies daarom stelt 'MFA staat aan' hier niet gerust: een aanvaller die een al ingelogde sessie overneemt, hoeft de tweede factor niet meer te passeren. Voor een Nederlands bedrijf is dat het verschil tussen een dichte voordeur en iemand die met een gekopieerde sleutel gewoon in je Microsoft 365 zit.
Hoe de aanval binnenkomt
ClickFix is geen exploit, maar social engineering. De aanvallen beginnen met malafide advertenties en gemanipuleerde zoekresultaten die je naar een pagina leiden met een nepmelding of een nep-CAPTCHA. De instructie: kopieer deze regel, plak hem in het Uitvoeren-venster of PowerShell, druk op enter. Dat 'verificatie'-commando haalt de malware zelf binnen. Er wordt geen gat in je software misbruikt; de gebruiker is de kwetsbaarheid.
Dezelfde truc dook in juni op bij Mac-gebruikers, waar een nep-CAPTCHA slachtoffers de Terminal liet openen om de AMOS-wachtwoorddief te installeren. De techniek is platformonafhankelijk en draait volledig op vertrouwen, niet op een technisch lek.
Wat ACR Stealer meeneemt
ACR Stealer is een infostealer die als dienst wordt verhuurd (malware-as-a-service) en volgens Microsoft een doorstart is van de eerdere Amatera-malware. Microsoft Defender Experts zag dat de activiteit tussen eind april en half juni 2026 toenam in klantomgevingen, via twee verschillende aanvalsketens: de ene met Python-loaders en een via de blockchain verborgen commandoserver, de andere volledig bestandsloos via PowerShell en in afbeeldingen verstopte code.
Eenmaal actief doorzoekt de malware Chromium-browsers zoals Chrome en Edge en pakt:
- Inloggegevens: opgeslagen gebruikersnamen en wachtwoorden.
- Sessies: cookies en authenticatietokens die toegang geven zonder opnieuw in te loggen.
- Documenten: pdf's uit mappen als Bureaublad en Downloads, plus bestanden uit Microsoft 365, OneDrive en SharePoint.
Dat laatste maakt het een bedrijfsprobleem en geen consumentenprobleem: de buit is niet één account, maar de sleutels tot je hele digitale werkplek.
De Nederlandse waarschuwing staat in Epe
Hoe hard dit kan uitpakken, liet gemeente Epe dit voorjaar zien. Via een ClickFix-aanval op 10 maart wisten criminelen bijna 552.000 bestanden van vrijwel alle inwoners buit te maken, inclusief namen, adressen, geboortedata en BSN's. Alleen doordat de gemeente geen DigiD-wachtwoorden bewaart, bleef die schade beperkt. Het bewijst dat ClickFix geen theoretisch dreigingsmodel is, maar in Nederland al een dataramp heeft veroorzaakt.
Wat dit praktisch betekent
De belangrijkste verdediging is geen product maar een reflex bij je team: een website die je vraagt een commando te kopiëren en in Uitvoeren of PowerShell te plakken, is per definitie een aanval. Nooit doen, hoe overtuigend de 'verificatie' ook oogt. Microsoft adviseert daarnaast concrete technische maatregelen: zet cloudgebaseerde bescherming en EDR in blokkeerstand aan, log PowerShell-scriptblokken, en schakel tamper protection in zodat de malware je beveiliging niet kan uitzetten.
De diepere les zit in wat er gestolen wordt. Nu aanvallers mikken op actieve sessies in plaats van losse wachtwoorden, verschuift beveiliging van de inlog naar wat daarna gebeurt: opvallen wanneer een sessie ineens vanaf een vreemde locatie of een onbekend apparaat wordt gebruikt. De aanval is laagdrempelig geworden, dus de verdediging kan niet bij één eenmalige controle blijven hangen.
Veelgestelde vragen
Beveiliging zit in het ontwerp
Ik denk met je mee waar je gegevens en sessies echt kwetsbaar zijn en bouw de software, koppelingen en monitoring die dat afdekken, self-hosted waar dat kan. Van eerste analyse tot een werkende oplossing die je zelf in handen houdt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
