Valse foutmeldingen in browser zijn open deur voor malware
Cybercriminelen stellen heel wat in het werk om nietsvermoedende gebruikers in de val te doen trappen. Zie je een foutmelding staan op je pc? Dan spreekt het voor zich dat je die zo snel mogelijk opgelost hebt. Hackers maken misbruik van die reflex, en infecteren sinds kort pc’s via zo’n foutmeldingen.
Onderzoekers bij Proofpoint konden reeds bepalen dat het niet één hackersgroepering is die zo’n nieuwe aanpak hanteert, maar dat het er meerdere zijn. Onder andere de groep achter ClearFake zou bij de valse foutmeldingen betrokken zijn. Eerder hackten zij al pc’s door het browservenster over te nemen en gebruikers aan te manen om een browserupdate te installeren. Alleen: het ging niet om een browserupdate, maar om een pakket met malware in.
Valse foutmeldingen
Deze keer focussen de cybercriminelen zich niet alleen op de browser, maar ook op veelgebruikte programma’s in de browser. Dat is mogelijk doordat de hackers JavaScript-code weten uit te voeren op populaire websites. Het gaat grotendeels om dezelfde aanpak als daarvoor: plots verschijnt er een melding dat er iets mis is met je pc of één of ander programma. De hackers gebruiken deze keer valse foutmeldingen voor Google Chrome, Microsoft Word en OneDrive.
“Handig” is dat die foutmeldingen meteen een oplossing aanreiken. Hier zouden de alarmbellen eigenlijk moeten afgaan. Om het probleem op te lossen, laat de foutmelding je een PowerShell-script kopiëren. Daarna is het de bedoeling dat gebruikers dat ingeven in de opdrachtprompt. Natuurlijk gaat het niet echt om een oplossing voor een probleem: door de PowerShell-code uit te voeren geef je de hackers toegang tot je systeem.
Veel interactie voor nodig
Opvallend is dat er voor dit veiligheidsrisico bijzonder veel interactie met de gebruiker nodig is. Een gebruiker die het PowerShell-script niet uitvoert, zal ook niet geïnfecteerd worden. Wie de code wel uitvoert, zit met een probleem. Nadat je het script hebt uitgevoerd worden enkele stappen doorlopen: de hackers controleren of ze je pc willen hacken of niet. Als dat het geval is, wordt er daarna een infostealer op het toestel gezet, om op die manier wachtwoorden en andere gevoelige data te ontfutselen. In andere gevallen is het PowerShell-script een manier om je toestel met andere malwareprogramma’s te infecteren, zoals Matanbuchus of DarkGate.
Jezelf beschermen
Er is één bepalende factor die de cybercriminelen toestaat om toe te slaan: de ontwetendheid van gebruikers. Heel wat mensen zien namelijk dat er een probleem is, en willen dat logischerwijs zo snel mogelijk oplossen. Krijg je zelf zo’n foutmelding te zien? Open dan een tweede browservenster en google de foutcode of tekst die je te zien krijgt. Op die manier kan je verifiëren of het om een echte foutmelding gaat, of om eentje die door cybercriminelen in elkaar geknutseld werd.
Tot slot: voer nooit zomaar code uit op je pc zonder dat je die begrijpt. Wil je dat toch doen? Dan is het de moeite om die code eerst eens aan ChatGPT, Gemini of een andere chatbot voor te schotelen. Die kunnen vrij snel zien wat zo’n stuk code precies probeert te doen, en kunnen je dus ook op tijd waarschuwen.