Rood hangslot op een zwart computertoetsenbord
Nieuws18 juli · 10:274 min leestijd

Microsoft ziet ClickFix-aanvallen bij zakelijke klanten toenemen

Microsoft ziet ClickFix-aanvallen bij zakelijke klanten toenemen. De infostealer ACR Stealer steelt wachtwoorden, sessietokens en Microsoft 365-documenten via een nep-CAPTCHA die medewerkers zelf een commando laat uitvoeren. Wat het betekent en hoe je je wapent.

Microsoft ziet het aantal geslaagde ClickFix-aanvallen bij zakelijke klanten oplopen: aanvallers verleiden medewerkers om zelf een kwaadaardig commando uit te voeren, waarna de infostealer ACR Stealer wachtwoorden, sessietokens en bedrijfsdocumenten wegsluist.

De inzet is direct. ACR Stealer pikt niet alleen opgeslagen wachtwoorden, maar ook sessiecookies en authenticatietokens: de digitale bewijsjes waarmee je browser al is ingelogd. Wie die buitmaakt, hoeft je wachtwoord niet te kraken en loopt in veel gevallen zo langs je meervoudige verificatie. Precies daarom stelt 'MFA staat aan' hier niet gerust: een aanvaller die een al ingelogde sessie overneemt, hoeft de tweede factor niet meer te passeren. Voor een Nederlands bedrijf is dat het verschil tussen een dichte voordeur en iemand die met een gekopieerde sleutel gewoon in je Microsoft 365 zit.

Hoe de aanval binnenkomt

ClickFix is geen exploit, maar social engineering. De aanvallen beginnen met malafide advertenties en gemanipuleerde zoekresultaten die je naar een pagina leiden met een nepmelding of een nep-CAPTCHA. De instructie: kopieer deze regel, plak hem in het Uitvoeren-venster of PowerShell, druk op enter. Dat 'verificatie'-commando haalt de malware zelf binnen. Er wordt geen gat in je software misbruikt; de gebruiker is de kwetsbaarheid.

Dezelfde truc dook in juni op bij Mac-gebruikers, waar een nep-CAPTCHA slachtoffers de Terminal liet openen om de AMOS-wachtwoorddief te installeren. De techniek is platformonafhankelijk en draait volledig op vertrouwen, niet op een technisch lek.

Wat ACR Stealer meeneemt

ACR Stealer is een infostealer die als dienst wordt verhuurd (malware-as-a-service) en volgens Microsoft een doorstart is van de eerdere Amatera-malware. Microsoft Defender Experts zag dat de activiteit tussen eind april en half juni 2026 toenam in klantomgevingen, via twee verschillende aanvalsketens: de ene met Python-loaders en een via de blockchain verborgen commandoserver, de andere volledig bestandsloos via PowerShell en in afbeeldingen verstopte code.

Eenmaal actief doorzoekt de malware Chromium-browsers zoals Chrome en Edge en pakt:

  • Inloggegevens: opgeslagen gebruikersnamen en wachtwoorden.
  • Sessies: cookies en authenticatietokens die toegang geven zonder opnieuw in te loggen.
  • Documenten: pdf's uit mappen als Bureaublad en Downloads, plus bestanden uit Microsoft 365, OneDrive en SharePoint.

Dat laatste maakt het een bedrijfsprobleem en geen consumentenprobleem: de buit is niet één account, maar de sleutels tot je hele digitale werkplek.

De Nederlandse waarschuwing staat in Epe

Hoe hard dit kan uitpakken, liet gemeente Epe dit voorjaar zien. Via een ClickFix-aanval op 10 maart wisten criminelen bijna 552.000 bestanden van vrijwel alle inwoners buit te maken, inclusief namen, adressen, geboortedata en BSN's. Alleen doordat de gemeente geen DigiD-wachtwoorden bewaart, bleef die schade beperkt. Het bewijst dat ClickFix geen theoretisch dreigingsmodel is, maar in Nederland al een dataramp heeft veroorzaakt.

Wat dit praktisch betekent

De belangrijkste verdediging is geen product maar een reflex bij je team: een website die je vraagt een commando te kopiëren en in Uitvoeren of PowerShell te plakken, is per definitie een aanval. Nooit doen, hoe overtuigend de 'verificatie' ook oogt. Microsoft adviseert daarnaast concrete technische maatregelen: zet cloudgebaseerde bescherming en EDR in blokkeerstand aan, log PowerShell-scriptblokken, en schakel tamper protection in zodat de malware je beveiliging niet kan uitzetten.

De diepere les zit in wat er gestolen wordt. Nu aanvallers mikken op actieve sessies in plaats van losse wachtwoorden, verschuift beveiliging van de inlog naar wat daarna gebeurt: opvallen wanneer een sessie ineens vanaf een vreemde locatie of een onbekend apparaat wordt gebruikt. De aanval is laagdrempelig geworden, dus de verdediging kan niet bij één eenmalige controle blijven hangen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Beveiliging zit in het ontwerp

Ik denk met je mee waar je gegevens en sessies echt kwetsbaar zijn en bouw de software, koppelingen en monitoring die dat afdekken, self-hosted waar dat kan. Van eerste analyse tot een werkende oplossing die je zelf in handen houdt.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing
Nieuws
5 min

9 jul 20:22

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie
Inzicht
6 minBijgewerkt om 16:50

14 jul 13:03

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie

Bij de twee geraffineerdste overnames van Microsoft 365-accounts van de afgelopen week viel geen wachtwoord te stelen, want er werd er geen gebruikt.

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey
Nieuws
4 min

8 jul 20:11

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey

Aanvallers bellen medewerkers van bedrijven op Microsoft 365 en praten ze een frauduleuze Entra-passkey aan. Ze nemen intussen het account over en stelen data uit SharePoint en OneDrive. Dit betekent het voor je securitybeleid.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling
Nieuws
5 min

1 jul 12:07

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling

Een configuratiewijziging in een Microsoft-omgeving maakte gevoelige persoonsgegevens bijna een jaar toegankelijk binnen Avans' systeem AMIGO. Geen hack, wel een pijnlijke les over toegangsbeheer voor elk bedrijf.