Onderzoekers waarschuwen wederom voor zogenaamde Cloudflare-captcha's die internetgebruikers malware laten installeren. Dergelijke aanvallen worden ook wel ClickFix genoemd. Onlangs meldde de gemeente Epe dat criminelen via een ClickFix-aanval 600.000 bestanden hadden gestolen. Bij een ClickFix-aanval worden slachtoffers verleid tot het uitvoeren van een bepaald commando op hun computer, wat tot de installatie van malware leidt. Vaak maken aanvallers gebruik van zogenaamde captcha's die stellen dat een aantal handelingen moeten worden uitgevoerd om de 'captcha' op te lossen. De 'captcha's' kunnen worden getoond via gehackte websites, malafide pagina's en malafide advertenties.

Bij de aanval waar antivirusbedrijf Malwarebytes voor waarschuwt krijgen macOS-gebruikers een zogenaamde Cloudflare-captcha te zien. Een dergelijke tactiek werd vorig jaar ook al waargenomen. Volgens de 'captcha' moet de gebruiker verifieren dat hij mens is en dat dit proces één handmatige stap vereist. Een werkelijkheid kopieert de zogenaamde captcha een commando naar het clipboard van de gebruiker. Die krijgt vervolgens de instructies de macOS Terminal te starten, gevolgd door het paste commando en enter. Hierdoor wordt er een Bash-script uitgevoerd dat infostealer-malware installeert.

Infostealer-malware steelt allerlei wachtwoorden en andere inloggegevens van het besmette systeem. In dit geval gaat het om credentials uit Chromium-gebaseerde browsers en Firefox, gegevens uit de macOS Keychain, cryptowallets en plaintext secrets in bestanden waar programmeurs gebruik van maken, zoals .env. Daarnaast maakt de malware ook screenshots op het moment dat die actief is. "Omdat de gebruiker de commando's uitvoert, worden veel traditionele beveiligingsmaatregelen omzeild. Er is geen exploit, geen malafide bijlage en geen drive-by download", zegt onderzoeker Stefan Dasic.