TikTok is niet langer alleen een platform voor entertainment en creatieve expressie, maar wordt nu ook steeds vaker misbruikt door cybercriminelen voor het verspreiden van malware. In een nieuwe zorgwekkende ontwikkeling gebruiken cybercriminelen TikTok video's om infostealer* malware te verspreiden via een techniek die bekendstaat als ClickFix* aanvallen. Deze aanvallen richten zich op zowel individuele gebruikers als organisaties en maken gebruik van misleidende video’s die gebruikers aansporen om schadelijke PowerShell* opdrachten uit te voeren. Dit artikel onderzoekt de werking van deze aanval, de impact ervan, de gevaren van infostealer malware en hoe je jezelf kunt beschermen tegen deze digitale dreigingen.
Wat zijn ClickFix aanvallen?
ClickFix aanvallen zijn een type social engineering aanval waarbij gebruikers worden misleid om specifieke acties uit te voeren op hun computer. In het geval van de TikTok aanvallen worden gebruikers aangespoord om PowerShell opdrachten uit te voeren, een ingebouwd hulpprogramma in Windows. Cybercriminelen gebruiken deze techniek door middel van video's die zogenaamd tips geven voor het verkrijgen van gratis software of activatiecodes voor populaire apps. De video's bevatten echter schadelijke instructies die, wanneer uitgevoerd, een kwaadaardig script downloaden van een externe server. Deze scripts installeren op hun beurt infostealer malware op de systemen van de slachtoffers.
Wat ClickFix aanvallen zo gevaarlijk maakt, is dat ze gebruik maken van bestaande en legitieme Windows functionaliteiten, zoals PowerShell. Dit maakt het voor traditionele antivirussoftware veel moeilijker om de kwaadaardige activiteit te detecteren. PowerShell, een tool die vaak door systeembeheerders wordt gebruikt voor geavanceerde systeembeheerfuncties, wordt hier misbruikt door cybercriminelen om hun malware onopgemerkt uit te voeren. Dit zorgt ervoor dat de aanval vaak ongemerkt blijft totdat het te laat is en de malware zijn werk heeft gedaan.
TikTok als platform voor malwareverspreiding
TikTok heeft zich bewezen als een van de snelstgroeiende sociale mediaplatformen ter wereld, met miljarden actieve gebruikers. Helaas biedt deze enorme gebruikersbasis ook kansen voor cybercriminelen om malware te verspreiden. In plaats van gebruik te maken van traditionele methoden om slachtoffers te misleiden, zoals phishing e-mails, maken aanvallers nu gebruik van TikTok video's om slachtoffers op subtiele wijze te verleiden tot het uitvoeren van schadelijke acties. Deze video's worden vaak gepromoot met beloftes van gratis software, zoals activatiecodes voor populaire apps zoals Spotify of CapCut. In werkelijkheid zijn dit lokmiddelen die gebruikers naar schadelijke websites leiden, waar ze een script downloaden dat malware installeert.
De video's worden vaak gepromoot als tutorials of trucs die 'te goed zijn om waar te zijn'. Ze zijn ontworpen om nieuwsgierigheid op te wekken, vooral onder jonge, onervaren internetgebruikers die misschien minder kritisch zijn bij het bekijken van dergelijke inhoud. De virale aard van TikTok maakt het bovendien gemakkelijk voor cybercriminelen om een breed publiek te bereiken, waardoor het aantal slachtoffers exponentieel kan toenemen. In sommige gevallen hebben dergelijke video's miljoenen weergaven behaald, wat aantoont hoe effectief deze tactieken kunnen zijn. Het feit dat TikTok gebruik maakt van geavanceerde algoritmes die video's aanbevelen op basis van gebruikersgedrag, maakt het voor aanvallers nog makkelijker om hun schadelijke inhoud aan een breed publiek te tonen.
De impact van infostealer malware
De malware die via deze TikTok video's wordt verspreid, staat bekend als infostealer malware. De twee belangrijkste soorten malware die hierbij worden gebruikt, zijn Vidar en StealC. Beide malware varianten zijn ontworpen om gevoelige persoonlijke gegevens van het slachtoffer te stelen. Dit kan variëren van wachtwoorden en inloggegevens voor online bankieren tot creditcardinformatie, cryptocurrency portemonnees en zelfs gegevens die worden gebruikt voor tweefactorauthenticatie (2FA). Wanneer deze gegevens eenmaal zijn verzameld, worden ze naar de aanvaller gestuurd, die ze kan misbruiken voor identiteitsdiefstal, fraude of andere cybercriminaliteit.
Voor bedrijven zijn de gevolgen van een dergelijke aanval desastreus. Het verlies van gevoelige gegevens kan leiden tot financiële schade, verlies van klantvertrouwen en reputatieschade. Infostealer malware kan ook toegang bieden tot interne systemen via gestolen 2FA gegevens, waardoor de aanvaller toegang krijgt tot nog meer vertrouwelijke informatie. Dit soort aanvallen kan leiden tot ernstige inbreuken op de beveiliging en het verlies van bedrijfsdata, wat in sommige gevallen kan resulteren in een datalek of zelfs het verlies van intellectueel eigendom.
De kosten van het herstellen van deze aanvallen kunnen enorm zijn. Naast de directe kosten van het verhelpen van de schade, kunnen bedrijven ook boetes krijgen voor het niet naleven van regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), die strengere eisen stelt aan de bescherming van persoonsgegevens. Voor bedrijven die een grote hoeveelheid klantgegevens beheren, kan het verlies van vertrouwen ernstige gevolgen hebben voor hun reputatie en klantenkring.
Hoe kun je jezelf beschermen tegen deze dreigingen?
Er zijn verschillende stappen die zowel individuen als organisaties kunnen nemen om zichzelf te beschermen tegen ClickFix aanvallen en infostealer malware. Ten eerste is het belangrijk om je bewust te zijn van de risico's die verbonden zijn aan het downloaden en uitvoeren van software vanuit onbetrouwbare bronnen. Aanbiedingen van 'gratis' software die via sociale media of onofficiële kanalen worden gepromoot, moeten altijd met de nodige voorzichtigheid worden bekeken. Als iets te goed klinkt om waar te zijn, is het dat waarschijnlijk ook.
Een andere belangrijke maatregel is het implementeren van goede beveiligingssoftware op zowel persoonlijke als bedrijfsapparaten. Antivirusprogramma's kunnen vaak verdachte activiteiten detecteren, zoals de uitvoering van PowerShell opdrachten of het downloaden van scripts van onbekende servers. Het is daarnaast raadzaam om de toegang tot PowerShell te beperken tot systeembeheerders en om de uitvoering van ongeautoriseerde scripts te blokkeren.
Daarnaast moeten bedrijven ervoor zorgen dat hun medewerkers goed zijn geïnformeerd over de gevaren van social engineering en phishing aanvallen. Bewustwordingstraining kan ervoor zorgen dat medewerkers niet in de val trappen wanneer ze worden blootgesteld aan verdachte video's of links op sociale media. Dit kan het risico op infecties aanzienlijk verminderen. Organisaties kunnen ook gebruik maken van multi factor authenticatie (MFA) voor extra beveiliging van gevoelige accounts. Zelfs als aanvallers in staat zijn om inloggegevens te verkrijgen, kan MFA voorkomen dat ze daadwerkelijk toegang krijgen tot belangrijke systemen.
Tot slot kunnen bedrijven hun netwerken en systemen monitoren op verdachte activiteiten. Het bijhouden van systeemlogs en het analyseren van netwerkverkeer kan helpen bij het opsporen van ongebruikelijke activiteiten die wijzen op een beveiligingsinbreuk. Het is belangrijk om regelmatig backups te maken van belangrijke gegevens, zodat bedrijven snel kunnen herstellen in geval van een aanval.
De toekomst van sociale media en cybercriminaliteit
De opkomst van TikTok en andere sociale mediaplatformen heeft nieuwe mogelijkheden gecreëerd voor cybercriminelen om hun aanvallen te verspreiden. Het is duidelijk dat social engineering via sociale media een krachtig wapen is geworden in de arsenaal van cybercriminelen. Terwijl deze platforms blijven groeien en evolueren, is het belangrijk dat zowel gebruikers als bedrijven zich blijven aanpassen en waakzaam blijven voor nieuwe vormen van digitale bedreigingen.
De technologische vooruitgang biedt zowel voordelen als risico’s. Hoewel platforms zoals TikTok geweldige kansen bieden voor communicatie en zelfexpressie, moeten we ons ervan bewust zijn dat deze platforms ook misbruikt kunnen worden voor kwaadaardige doeleinden. Het is essentieel dat zowel gebruikers als organisaties proactief maatregelen nemen om zich te beschermen tegen de voortdurende evolutie van cybercriminaliteit. Naarmate de technologie zich verder ontwikkelt, zal de strijd tussen cybersecurityexperts en cybercriminelen steeds complexer worden.
Door bewustwording, educatie en het implementeren van robuuste beveiligingsmaatregelen kunnen we echter de impact van deze aanvallen minimaliseren en de digitale veiligheid verbeteren voor iedereen.
*Wat is?
-
ClickFix aanvallen: Dit is een type cyberaanval waarbij de aanvaller probeert gebruikers te misleiden om gevaarlijke opdrachten uit te voeren op hun computer, vaak door gebruik te maken van nep instructies of valse waarschuwingen die lijken op systeemmeldingen.
-
PowerShell: Een krachtige tool die in Windows besturingssystemen zit, bedoeld voor systeembeheer. Hackers gebruiken PowerShell vaak om kwaadaardige programma's op een computer te installeren, zonder dat antivirussoftware het opmerkt.
-
Social engineering: Dit is een techniek waarbij cybercriminelen proberen mensen te manipuleren of te misleiden om vertrouwelijke informatie prijs te geven of onveilige acties te ondernemen, zoals het openen van schadelijke bestanden of klikken op een link.
-
Infostealer malware: Dit is een soort malware (kwaadaardige software) die is ontworpen om persoonlijke gegevens te stelen, zoals wachtwoorden, creditcardinformatie en andere vertrouwelijke gegevens.
-
Vidar en StealC: Dit zijn specifieke soorten infostealer malware die gebruikersgegevens kunnen stelen, zoals wachtwoorden, bankgegevens en zelfs cryptocurrency wallets.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: Trendmicro
Meer recente artikelen van Cybercrimeinfo
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Reactie plaatsen
Reacties