Samenvatting
Q2 2025 bevestigde opnieuw de omvang en verfijning van client-side aanvallen, met impact op websites in uiteenlopende sectoren, met een bijzondere focus op WordPress-platforms. Het onderzoek van cside bracht meer dan 72.000 gecompromitteerde websites aan het licht en toont aan hoe aanvallers vertrouwen op JavaScript-gebaseerde leveringsmechanismen, kwetsbaarheden in de toeleveringsketen van derde partijen en misleidende, op de browser gerichte social engineering-tactieken zoals nep-browserupdates.
Dit rapport biedt CISO's, digital risk leaders en andere beveiligingsverantwoordelijken een overzicht van de meest kritieke campagnes die dit kwartaal zijn gedetecteerd, met zowel technische details als strategisch inzicht ter ondersteuning van proactieve besluitvorming.
Belangrijkste inzicht voor leidinggevenden: Moderne cyberdreigingen maken in toenemende mate misbruik van browserinteracties en het vertrouwen van gebruikers in gangbare CMS-platforms. Bescherming hiertegen vereist zicht op runtime-gedrag, strikt scriptbeheer en gecoördineerde dreigingsinformatie. Daarnaast brengen client-side aanvallen gericht op cryptovalutaplatforms en betalingsomgevingen onevenredig grote risico's met zich mee, ook al vertegenwoordigen ze een kleiner deel van het totale aantal incidenten.
Grote Client-Side Campagnes
1. Chinese PWA-injectie-oplichting – Mobiel doelwit met volwassen thema's
- Voor het eerst gesignaleerd in juni 2025, heeft deze campagne al meer dan 10.000 websites getroffen en is nog steeds actief.
- Oorzaak: Geïnjecteerde code in de service worker en PWA-logica van populaire thema's en sjablonen.
- Aanvalsinfrastructuur: Gehost op roterende subdomeinen gekoppeld aan volwassen-thema APK-lokmiddelen.
- Aanvalsinfrastructuur: Domeinen zoals qaztool[.]com en zijn subdomeinen waren verantwoordelijk voor het injecteren van iframes die het volledige viewport overnamen.
- Wat maakt deze aanval uniek? Hij wordt alleen geactiveerd als je een mobiel apparaat gebruikt.
- Stimuleert de installatie van kwaadaardige PWA's die zich voordoen als volwassen-apps
- Gebruikt fingerprinting en cloaking om sandboxes te omzeilen
2. Bewapend Google OAuth + WebSocket-misbruik
- Gedetecteerd: mei 2025
- Getroffen websites: 22
Oorzaak: Legitieme OAuth-callback-URL's gekaapt om kwaadaardige JavaScript-functies te activeren.
Aanvalsinfrastructuur: Misbruik van Google OAuth-responstokens met dynamische eval(atob(...)) payloads en versluierde WebSocket-eindpunten.
Opvallende kenmerken:
- Script wordt alleen geactiveerd nadat de gebruiker zich heeft geverifieerd met Google
- Fungeert als een sessie-bewuste beacon of token-steler
- WebSocket-exfiltratiemethode omzeilt traditionele verkeersmonitoring
Waarom dit ertoe doet: Aanvallers kapen vertrouwde inlogsystemen zoals Google OAuth – iets wat gebruikers van nature vertrouwen.
3. CoinMarketCap-kloon – Nep wallet-drainer
- Gedetecteerd: mei 2025
- Getroffen websites: Gerichte, hoogwaardige klonen en verkeersonderschepping via SEO-spoofing
Oorzaak: Nep CoinMarketCap-klonen geïnjecteerd in advertentienetwerken en typosquatted domeinen
Aanvalsinfrastructuur: Gespoofde domeinen die de CoinMarketCap-UI nabootsen, met ingebedde credential-stelers en wallet-drainers
Opvallende kenmerken:
- Pixel-perfecte replicatie van CoinMarketCap's frontend
- Credential-harvesting via nep inlogvensters
- Wallet-drainer scripts geactiveerd na authenticatie
- In sommige versies werd de ChatGPT-UI als secundair lokmiddel gebruikt
Strategisch risico: Imitatie van sterk vertrouwde cryptoplatforms leidt via phishing tot daadwerkelijk vermogensverlies en ondermijnt het vertrouwen in Web3.
4. ClickFix-misbruik – Meedogenloze multi-platform code-injectie
- Gedetecteerd: mei 2025
Oorzaak: Kwaadaardig gebruik van de ClickFix-plugin om willekeurige JavaScript te injecteren in meerdere CMS-platforms.
Aanvalsinfrastructuur: Aanvallers maakten gebruik van de cross-platform compatibiliteit van ClickFix om versluierde payloads te plaatsen op WordPress, Joomla en aangepaste CMS-omgevingen.
Opvallende kenmerken:
- Dynamische scriptinjectie met contextuele targeting
- Payloads bevatten redirectors, tracking-beacons en skimmers
- Moeilijk te traceren door gebruik van plugin-native functies en gerandomiseerde scriptpaden
Strategisch risico: Persistente toegang via meerdere platforms stelt aanvallers in staat om payloads na een compromittering te wisselen zonder verdere exploitatie.
5. scriptapi[.]dev – SEO-vergiftiging voor nep-diensten
- Gedetecteerd: april 2025
- Getroffen websites: ~500
Oorzaak: Geïnjecteerd via een nep-scriptbron of een gekaapt analytics-plugin.
Aanvalsinfrastructuur: Gespoofde scripthosts injecteerden verborgen links en commentaarspam.
Opvallende kenmerken:
- Gecloakte keyword-stuffing gericht op zoekmachinecrawlers
- Injecteerde honderden uitgaande links onzichtbaar
- Vaak gecombineerd met doorverwijzing via verlopen domeinen
Strategisch risico: Grote SEO-boetes; gebruikt om zoekresultaten te manipuleren ten gunste van oplichterssites.
Strategische aanbevelingen voor directie en CISO's
Nu client-side dreigingen steeds geavanceerder en moeilijker te detecteren worden, moeten enterprise-verdedigers een gelaagde en toekomstgerichte aanpak hanteren om gebruikersvertrouwen, bedrijfscontinuïteit en naleving van regelgeving te beschermen. Op basis van trends die in Q2 2025 zijn waargenomen, beveelt cside de volgende strategische acties aan:
1. Governance van client-side risico's
Maak dit een prioriteit: Controleer en monitor alle JavaScript-code van derden vóór en na implementatie. Voor alle JavaScript-assets van derden geldt: elk script, elke plugin of afhankelijkheid die in de gebruikerservaring wordt geïntroduceerd, moet worden bijgehouden, geverifieerd en gemonitord in productieomgevingen.
2. Runtime-detectiecapaciteiten
Investeer in gedragsgebaseerde monitoring van browseromgevingen om kwaadaardige acties te detecteren zoals iframe-injectie, credential-skimming, omleidingslussen of ongeautoriseerde DOM-manipulatie – dreigingen die vaak onzichtbaar zijn voor statische scantools.
3. Web-CMS als hoogwaardig doelwit
Platforms zoals WordPress blijven een primair doelwit voor aanvallers vanwege het wijdverbreide gebruik en inconsistente patchhygiëne. Behandel CMS-omgevingen met enterprise-niveau zorgvuldigheid, inclusief automatisch patchen, vetting-pipelines voor plugins en regelmatige integriteitschecks.
4. Zero Trust voor JavaScript-levering
Ga ervan uit dat geen enkel script veilig is; pas Zero Trust-regels toe op alle JavaScript, zelfs code van vertrouwde bronnen. Ga standaard uit van compromittering, dwing CSP (Content Security Policy) af en log elke scriptuitvoering en netwerkaanvraag voor anomaliedetectie en auditdoeleinden.
5. Responsplaybooks en dreigingssimulaties
Ontwikkel en oefen incident response-playbooks gericht op:
- Compromittering van JavaScript in de toeleveringsketen
- Client-side injectieaanvallen
- Diefstal van inloggegevens via nep inlogvensters
Gebruik realistische scenario's zoals Magecart, PWA-misbruik en plugin-kaping als basis voor tabletop-oefeningen.
Overzicht van kernmetrieken
Aantal getroffen websites per aanvalstype
Strategische trends waargenomen in Q2 2025
In Q2 2025 bepaalden verschillende zich ontwikkelende patronen het veranderende client-side dreigingslandschap:
1. Mobile-first client-side aanvallen
Kwaadaardige campagnes richten zich in toenemende mate op mobiele apparaten, met name Android. Van PWA-gebaseerde omleidingen tot APK-dropper-lokmiddelen: aanvallers optimaliseren payloads voor mobiele browsers waar detectie en sandboxing beperkt blijven.
2. Bewapening van legitieme webfunctionaliteit
Campagnes in Q2 misbruikten OAuth-flows, service workers en browser-native API's om kwaadaardige activiteit te vermommen als normaal gebruikersgedrag. Voorbeelden zijn sessiekaping via Google OAuth-callbacks en persistente omleidingen geïnjecteerd via PWA-service workers.
3. Erosie van vertrouwen in de browser-UI
We zagen een toename van schermvullende hijacks, nep-inlogmodals, en pixel-perfecte klonen van vertrouwde platforms zoals CoinMarketCap. Deze aanvallen maken misbruik van het vertrouwen dat gebruikers stellen in de visuele interface van de browser, waarbij traditionele URL-gebaseerde beveiligingsindicatoren worden omzeild.
4. WordPress-exploitatie blijft wijdverspreid
WordPress bleef fungeren als het voornaamste toegangspunt voor client-side compromittering. Niet-gepatchte plugins en onveilige thema's maakten persistente injectie mogelijk via tactieken zoals jquery.bond-backdoors en misbruik van de ClickFix-plugin.
5. Cross-platform code-injectie via ClickFix
De ClickFix-plugin werd misbruikt om client-side malware te verspreiden via WordPress, Joomla en aangepaste CMS-platformen. Dankzij de flexibele injectiemogelijkheden konden aanvallers payloads afstemmen op de omgeving — variërend van credential-stealers tot advertentiefraude-scripts. Dit markeert een verschuiving naar platform-agnostische exploitatie, waardoor client-side aanvallen een groter bereik krijgen dan alleen WordPress.
Compliance- en regelgevingsimpact
Dit is niet louter een technische kwestie — client-side inbreuken kunnen leiden tot GDPR-boetes, rechtszaken en verlies van klantvertrouwen. Organisaties moeten de browser-side omgeving beschouwen als onderdeel van hun gereguleerde infrastructuur.
1. Algemene Verordening Gegevensbescherming (AVG/GDPR)
Client-side malware, redirects of misbruik van scripts van derden kunnen kwalificeren als een schending van de gegevensbeschermingsverplichtingen onder Artikel 32 van de GDPR.
Gevolgen:
- Boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
- Verplichte melding van inbreuken aan toezichthoudende autoriteiten en getroffen gebruikers
- Reputatieschade als gevolg van publieke meldingsverplichtingen
2. PCI-DSS-risico: skimming op betaalpagina's & Magecart
Client-side aanvallen zoals Magecart, Formjacking en checkout-skimmers zijn een directe schending van de PCI-DSS v4.0-vereisten, met name die met betrekking tot controle en integriteit van client-side scripts.
Gevolgen:
- Regelgevingsboetes en mogelijk verlies van PCI-compliance
- Meldingsverplichtingen bij inbreuken conform de richtlijnen van de PCI Council
- Merkschade, verlies van consumentenvertrouwen en juridische blootstelling. Gezien de alomtegenwoordigheid van op JavaScript gebaseerde afrekenprocessen is het beveiligen van browser-side omgevingen niet langer optioneel voor PCI-conforme merchants.
3. California Consumer Privacy Act (CCPA)
Kwaadaardige scripts die persoonsgegevens exfiltreren of misbruiken, kunnen handhavingsacties uitlokken onder de CCPA, waaronder:
- Privaat vorderingsrecht voor consumenten in Californië
- Wettelijke schadevergoeding bij datalekken, ook zonder betrokkenheid van een toezichthouder
- Extra aandacht van staatstoezichthouders als nalatigheid wordt aangetoond
4. Merkreputatie & juridische blootstelling
Naast boetes en formele sancties creëren client-side dreigingen cumulatieve bedrijfsrisico's:
- Rechtszaken van klanten en verlies van gebruikersvertrouwen
- Op de zwarte lijst geplaatst door zoekmachines en advertentieplatformen (bijv. Google Safe Browsing)
- Verbanning uit affiliate-netwerken of omzetverlies door op scripts gebaseerde fraude of hijacking
Risicovoorspelling terugblik — Q2 2025
Aan het begin van Q2 deed cside op basis van patronen uit Q1 een aantal voorspellingen over hoog-risico-ontwikkelingen. Hieronder volgt een terugblik op die voorspellingen, met een overzicht van welke dreigingen zich hebben gematerialiseerd en welke nog in opkomst zijn of zich verder ontwikkelen.
Risicovoorspelling voor Q3 2025
Op basis van de aanvalstrends die in Q2 zijn waargenomen, doet cside de volgende voorspellingen voor Q3:
Strategische Aanbevelingen voor Directie en CISO's
Organisaties moeten verder gaan dan traditionele perimeterbeveiliging en realtime browserbeveiliging omarmen als kernonderdeel van hun risicobeheersstrategie. Op basis van de inzichten uit Q2 2025 beveelt cside de volgende concrete maatregelen aan:
1. Governance van Client-side Risico's
Stel formeel beleid op voor alle client-side assets:
- Verplicht een review vóór implementatie en monitoring na implementatie voor JavaScript van derden
- Beheer een goedgekeurde scriptinventaris met versiebeheer, hashvalidatie en integriteitscontroles
2. Runtime-detectiecapaciteiten
Zet gedragsgebaseerde monitoringtools in om verdachte activiteit in de live browseromgeving te detecteren, zoals:
- Iframe-injecties en volledige paginaovernames
- Ongeautoriseerde DOM-manipulatie
- Onverwachte uitgaande netwerkverbindingen Deze detecties moeten waarschuwingen activeren voordat gebruikers worden getroffen.
3. Zero Trust voor Content van Derden
Pas Zero Trust-principes toe op externe content:
- Gebruik Content Security Policy (CSP)-headers om het laden van assets te beperken
- Dwing Subresource Integrity (SRI) af voor alle scripts van derden
- Log en auditeer alle dynamische scriptladingen en inline scriptuitvoeringen
4. Verbeterde WordPress-beveiligingshouding
Versterk het aanvalsoppervlak van uw CMS, met name WordPress:
- Verplicht geautomatiseerde patching van core-, plugin- en themacomponenten
- Sta alleen gescreende, beveiligingsgeauditeerde plugins en thema's toe
- Monitor op ongeautoriseerde aanmaak van beheerdersaccounts en privilege-escalatie
5. Incidentrespons-playbooks Voorbereiden en Testen
Ontwikkel en oefen playbooks gericht op moderne client-side dreigingen:
- JavaScript-injectie (bijv. Magecart, wallet drainers)
- Supply chain-inbreuken (bijv. compromittering van plugins of CDN)
- SEO-vergiftiging en reputatieschade aan domeinen Neem duidelijk omschreven communicatie- en meldingsworkflows op voor toezichthouders (AVG, CCPA, PCI-DSS) in geval van een inbreuk.
Slotwoord
Het dreigingslandschap blijft zich in 2025 ontwikkelen. Aanvallers hoeven servers niet meer te kraken; het is voldoende om één script te compromitteren. De browser is nu de frontlinie.
Om voorop te blijven, moeten organisaties verder gaan dan servergerichte verdedigingsmodellen en investeren in realtime detectie en respons op client-side dreigingen. Zelfs laagfrequente, hoogimpact-dreigingen zoals crypto wallet drainers of card skimming-aanvallen kunnen leiden tot aanzienlijk financieel verlies en blootstelling aan regelgeving.
Bij cside blijven we toegewijd aan het blootleggen en publiceren van opkomende dreigingen, zodat verdedigers worden versterkt, digitaal vertrouwen wordt vergroot en het web voor iedereen veiliger wordt.
