{"id":35488,"date":"2026-03-30T13:01:06","date_gmt":"2026-03-30T13:01:06","guid":{"rendered":"https:\/\/www.europesays.com\/be-nl\/35488\/"},"modified":"2026-03-30T13:01:06","modified_gmt":"2026-03-30T13:01:06","slug":"heb-je-een-mac-let-op-met-captcha-melding-die-gegevens-steelt","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/be-nl\/35488\/","title":{"rendered":"Heb je een Mac? Let op met Captcha-melding die gegevens steelt"},"content":{"rendered":"

We kennen allemaal de Cloudflare Captcha-meldingen die checken of we geen robots zijn. Aanvallers gebruiken nu zo’n melding om gegevens te stelen van je Mac.<\/p>\n

Malwarebytes<\/a> ontdekte tijdens routinecontroles een nieuwe ClickFix<\/a>-methode om gegevens te stelen. Onder de naam Infiniti Stealer verspreiden de aanvallers een valse Captcha-melding die gedupeerden overhaalt om commando\u2019s uit te voeren. Op die manier haal je de malware binnen die jouw gegevens steelt.<\/p>\n

De normale Captcha-pagina\u2019s van Cloudflare zijn bedoeld om te checken of je geen robot bent. Deze namaakversie lijkt er sterk op maar is eigenlijk een ClickFix. Infiniti Stealer misbruikt dus geen beveiligingslek, maar leidt zijn slachtoffers om de tuin.<\/p>\n

De payload blijkt geschreven te zijn in Python en samengesteld met Nuitka. Zo maken de aanvallers een macOS-uitvoeringsbestand. Dat is blijkbaar moeilijker te detecteren.<\/p>\n

Zelf code uitvoeren<\/p>\n

De Captcha-melding komt tevoorschijn op ge\u00efnfecteerde of malafide webpagina\u2019s of advertenties. Daar moet je een zogenaamde verificatie ondergaan. Normaal is dat een hokje aanvinken, of in andere gevallen bepaalde zaken herkennen in meestal wazige foto\u2019s. Hier is dat een instructie om een commando in Terminal in te geven. Dat commando moet je kopi\u00ebren en dan in Terminal plakken.<\/p>\n

Deze ClickFix-techniek zagen we al eerder voor Windows, maar nu maakt hij ook de oversteek naar macOS. Eens het commando is uitgevoerd, start de infectie meteen. De traditionele beveiligingsmechanismen zijn namelijk allemaal omzeild door de gebruiker het vuile werk te laten doen.<\/p>\n

De code leidt naar een URL die een eerste script laat lopen. Zo krijg je het installatiebestand binnen die de laatste malwarecode activeert. Dat is de Python 3.11-infostealer, een bin-bestand met de naam UpdateHelper. Die is erop gericht om tal van gevoelige gegevens te stelen. Denk aan inloggegevens van Chrome en Firefox, de inlogsleutelhanger, cryptoportefeuilles, ontwikkelaarsbestanden zoals .env, en screenshots.<\/p>\n

Om detectiemethodes te omzeilen, checkt de malware of het aan het draaien is binnen een ge\u00efsoleerde omgeving, zoals een sandbox. Er zit eveneens een willekeurige vertraging op om automatische zoeksystemen beet te nemen. Als de diefstal compleet is, krijgt de aanvaller een berichtje.<\/p>\n

Slachtoffer geworden?<\/p>\n

Deze ClickFix-techniek toont duidelijk aan dat je je niet zomaar veilig mag wanen omdat je een mac en geen Windows-pc gebruikt. Vermoed je dat je slachtoffer bent geworden, stop dan in elk geval met het uitvoeren van gevoelige taken, zoals banktransacties. Uitloggen uit alle actieve sessies van apps en sites is eveneens belangrijk. Paswoorden veranderen doe je pas op een niet-aangevallen toestel.<\/p>\n


\nUitgelicht artikel<\/p>\n

\"Nieuwe <\/p>\n

VoidStealer misleidt Chrome om je gegevens te bemachtigen
\n<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"We kennen allemaal de Cloudflare Captcha-meldingen die checken of we geen robots zijn. Aanvallers gebruiken nu zo’n melding…\n","protected":false},"author":2,"featured_media":35489,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[38],"tags":[177,27,26,25,1173,9489,3491,39,41,42,46,40,45,43,44],"class_list":{"0":"post-35488","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wetenschap-en-technologie","8":"tag-apple","9":"tag-be","10":"tag-belgie","11":"tag-belgium","12":"tag-beveiliging","13":"tag-clickfix","14":"tag-malware","15":"tag-science","16":"tag-science-and-technology","17":"tag-scienceandtechnology","18":"tag-technologie","19":"tag-technology","20":"tag-wetenschap","21":"tag-wetenschap-en-technologie","22":"tag-wetenschaptechnologie"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@be_nl\/116318259435295432","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/posts\/35488","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/comments?post=35488"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/posts\/35488\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/media\/35489"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/media?parent=35488"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/categories?post=35488"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/be-nl\/wp-json\/wp\/v2\/tags?post=35488"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}