CypherLoc is een geavanceerde, webgebaseerde oplichtingsaanval die de browser van het slachtoffer vergrendelt en deze vervolgens onder druk zet om een frauduleus nummer voor ondersteuning te bellen. Uit bevindingen van Barracuda Research blijkt dat de aanval stealth-technieken gebruikt om detectie door securitytools zoals scanners en sandboxes te omzeilen. Sinds begin 2026 hebben onderzoekers ongeveer 2,8 miljoen aanvallen met CypherLoc waargenomen.
Hoe deze aanval werkt
De aanval begint meestal met een phishing-e-mail met een link in het bericht zelf of in een bijlage. De link opent een pagina die er in eerste instantie normaal uitziet. De aanvalscode is verborgen in de webpagina en wordt alleen geactiveerd als aan specifieke voorwaarden is voldaan. Bijvoorbeeld als er een specifieke code aanwezig is en de gebruiker geen securityscanner of testomgeving gebruikt. Als deze condities worden gedetecteerd, schakelt de pagina de browser over naar een volledig scherm (full screen) die door aanvaller wordt gecontroleerd en die de browser vergrendelt, de bediening uitschakelt en valse en alarmerende securitywaarschuwingen toont.
De aanvallers proberen vervolgens elke poging om te ontsnappen te blokkeren. De pagina vertraagt de browser of laat deze crashen als deze wordt geïnspecteerd via de ingebouwde browsertool. De pagina verbergt de cursor en schakelt menu’s uit, en vergrendelt zichzelf opnieuw als de gebruiker probeert af te sluiten.
Psychologische tactieken omvatten luide waarschuwingsgeluiden, het IP-adres van het slachtoffer dat op het scherm wordt weergegeven, valse inlogformulieren die niet werken en herhaalde foutmeldingen. Allemaal ontworpen om paniek en een gevoel van urgentie te creëren. Tijdens de aanval wordt een telefoonnummer op het scherm getoond als de enige oplossing om het probleem op te lossen. Slachtoffers die bellen, worden doorverbonden met oplichters die zich voordoen als legitieme technische ondersteuning. De oplichters zetten de aanval vervolgens voort via social engineering, bijvoorbeeld om inloggegevens te bemachtigen.
“CypherLoc laat zien hoe moderne ‘scareware’ zich verplaatst van malware naar browsergebaseerde en door gebruikers gestuurde oplichting die moeilijk te detecteren en zeer effectief is”, zegt Saravanan Mohankumar, Manager van het Threat Analysis Team bij Barracuda. “Het gebruikt de browser zelf om slachtoffers onder druk te zetten tot handelen. Door verborgen code, vertraagde activering en agressief gedrag op het scherm te combineren, creëert het een overtuigende illusie van een ernstig systeemprobleem, terwijl er technisch gezien nauwelijks sporen achterblijven.”
Onderzoekers raden robuuste anti-phishing‑, browser- en endpointsecurity aan om verdacht scriptgedrag te detecteren en te blokkeren. Educatie van gebruikers is even belangrijk, omdat legitieme securitywaarschuwingen geen telefoonnummers weergeven, browsers niet vergrendelen en geen onmiddellijke actie via pop-ups eisen.
Meer informatie, inclusief volledige technische details en een stapsgewijze uitleg van een CypherLoc-aanval, is hier te vinden: https://blog.barracuda.com/2026/05/20/threat-spotlight-CypherLoc-scareware.
