ESET Threat Report H1 2025: nepfoutmeldingen door ClickFix zorgen voor meer ransomware en andere malware

Sliedrecht, 26 juni 2025 – ESET heeft haar nieuwste Threat Report gepubliceerd, waarin de trends in het dreigingslandschap worden samengevat. Deze trends zijn waargenomen in de telemetrie van ESET en vanuit het perspectief van zowel ESET-dreigingsdetectie- als onderzoeksexperts, van december 2024 tot en met mei 2025. Een van de meest opvallende ontwikkelingen in deze periode was de opkomst van ClickFix, een nieuwe, misleidende aanvalsvector die in de telemetrie van ESET met meer dan 500 procent is gestegen ten opzichte van de tweede helft van 2024. Dit maakt het één van de snelst groeiende dreigingen, goed voor bijna 8 procent van alle geblokkeerde aanvallen in de eerste helft van 2025, en nu de tweede meest voorkomende aanvalsvector na phishing.

ClickFix-aanvallen tonen een valse foutmelding die het slachtoffer ertoe aanzet om kwaadaardige opdrachten te kopiëren, plakken en uit te voeren op hun apparaten. De aanvalsvector treft alle belangrijke besturingssystemen, waaronder Windows, Linux en macOS. “De lijst met dreigingen waartoe ClickFix-aanvallen leiden, groeit met de dag en omvat infostealers, ransomware, trojans voor externe toegang, cryptominers, post-exploitatietools en zelfs aangepaste malware van dreigingsactoren die banden hebben met nationale staten”, aldus Jiří Kropáč, Director of Threat Prevention Labs bij ESET.

Ook het infostealer-landschap heeft aanzienlijke veranderingen ondergaan. Nu Agent Tesla langzaam uit beeld verdwijnt, is SnakeStealer (ook bekend als Snake Keylogger) sterk in opkomst en is het de meest gedetecteerde infostealer in onze telemetrie. SnakeStealer kan onder meer toetsaanslagen registreren, opgeslagen inloggegevens stelen, schermafbeeldingen maken en gegevens uit het klembord verzamelen.

Het afgelopen half jaar heeft ESET bijgedragen aan grote operaties tegen Lumma Stealer en Danabot, twee productieve malware-as-a-service-dreigingen. Vóór de operaties was de activiteit van Lumma Stealer in de eerste helft van 2025 hoger dan in de tweede helft van 2024 (+21%) en die van Danabot zelfs nog meer, met +52%. Dit toont aan dat beide dreigingen zeer productief waren, waardoor het des te belangrijker was om ze uit te schakelen.

De ransomware-scene raakte verder in chaos, met gevechten tussen rivaliserende ransomwarebendes die gevolgen hadden voor verschillende spelers, waaronder de grootste ransomware-as-a-service-aanbieder, RansomHub. Uit de jaarcijfers van 2024 blijkt dat het aantal ransomware-aanvallen en actieve bendes is toegenomen, maar dat de losgeldbetalingen aanzienlijk zijn gedaald. Deze discrepantie kan het gevolg zijn van takedowns en exit-scams die de ransomwarescene in 2024 op zijn kop hebben gezet, maar kan ook gedeeltelijk te wijten zijn aan een verminderd vertrouwen in het vermogen van de bendes om zich aan hun afspraken te houden.

Op Android-gebied steeg het aantal detecties van adware met 160%, grotendeels onder invloed van een geavanceerde nieuwe dreiging met de naam Kaleidoscope. Deze malware maakt gebruik van een misleidende ‘evil twin’-strategie om kwaadaardige apps te verspreiden die gebruikers overspoelen met opdringerige advertenties, waardoor de prestaties van het apparaat achteruitgaan.

Tegelijkertijd is NFC-fraude meer dan vijfendertig keer zo vaak voorgekomen, aangewakkerd door phishingcampagnes en inventieve relay-technieken. Hoewel de totale cijfers bescheiden blijven, onderstreept deze stijging de snelle evolutie van de methoden van de criminelen en hun voortdurende focus op het misbruiken van NFC-technologie.

Ons onderzoek naar GhostTap laat zien hoe deze malware kaartgegevens steelt, zodat aanvallers de kaarten van slachtoffers in hun eigen digitale wallets kunnen laden en wereldwijd frauduleuze contactloze telefonische betalingen kunnen uitvoeren. Georganiseerde fraudeurs gebruiken meerdere telefoons om deze oplichting op grote schaal uit te voeren. SuperCard X verpakt NFC-diefstal als een eenvoudige, minimalistische malware-as-a-service-tool. Het presenteert zich als een onschuldige NFC-gerelateerde app, maar zodra het op het apparaat van een slachtoffer is geïnstalleerd, legt het in realtime kaartgegevens vast en geeft deze door voor snelle uitbetalingen.

“Van nieuwe social engineering-technieken tot geavanceerde mobiele dreigingen en grote verstoringen door infostealers: het dreigingslandschap in de eerste helft van 2025 was allesbehalve saai”, vat Kropáč de inhoud van het laatste ESET Threat Report samen.

Bekijk voor meer informatie het ESET Threat Report H1 2025 op deze pagina. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.