Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is EKZ Stealer?
EKZ Stealer is een informatiesteler die is ontworpen om stilletjes opgeslagen wachtwoorden, cookies, gegevens voor automatisch invullen en betaalkaartgegevens uit webbrowsers op geïnfecteerde Windows-computers te extraheren. Volgens onderzoek van Arctic Wolf werd het voor het eerst waargenomen in mei 2026 als onderdeel van een campagne gericht op organisaties die Fortinet's FortiClient EMS-software gebruiken.
Om de steler af te leveren, vermomden aanvallers deze als een legitieme Fortinet-software-update genaamd FortiEndpoint_Patch.exe. Het bestand werd automatisch naar beheerde eindpunten gepusht via gemanipuleerde VPN-profielconfiguraties, wat betekent dat slachtoffers doorgaans geen idee hadden dat de malware werd geïnstalleerd.
EKZ Stealer overzicht
De malware richt zich op zowel Chromium-gebaseerde browsers (zoals Chrome en Edge) als Firefox-gebaseerde browsers, waaronder LibreWolf, Waterfox, Pale Moon en Thunderbird. Uit deze applicaties verzamelt het opgeslagen inloggegevens, sessie-cookies, autofill-gegevens en opgeslagen creditcardnummers.
Zodra het verzamelen is voltooid, worden de buitgemaakte gegevens naar een logbestand op de computer van het slachtoffer geschreven en vervolgens via een HTTP-verbinding naar een server gestuurd die door de aanvallers wordt beheerd. De stealer ondersteunt herhaald gebruik op meerdere hosts via een opdrachtregelinterface, wat erop wijst dat deze wordt gebruikt in gerichte, door operators aangestuurde operaties.
De campagne die Arctic Wolf documenteerde, maakte misbruik van CVE-2026-35616, een kwetsbaarheid in FortiClient EMS die ongeauthenticeerde toegang tot de beheer-API van de server gaf. Aanvallers gebruikten dat voetgat om VPN-profielconfiguraties te wijzigen en kwaadaardige PowerShell-commando's te injecteren die automatisch werden uitgevoerd op alle beheerde eindpunten wanneer er een VPN-verbinding werd gemaakt.
Hoe EKZ Stealer browsergegevens steelt
Chromium-gebaseerde browsers versleutelen opgeslagen wachtwoorden met een beveiliging die gekoppeld is aan het Windows-gebruikersaccount. EKZ Stealer omzeilt dit door zichzelf te kopiëren naar de eigen applicatiemap van de browser en vanaf die locatie opnieuw te starten, waardoor de browser het als een vertrouwd intern proces behandelt.
Vanuit die positie roept het een geprivilegieerde browserfunctie aan om de AES-256-decoderingssleutel op te halen die wordt gebruikt om opgeslagen inloggegevens te beschermen. Hierdoor kan de stealer elk opgeslagen wachtwoord in de browser lezen zonder enige waarschuwing aan de gebruiker.
Verdedigingsontwijking
EKZ Stealer neemt maatregelen om analyse te bemoeilijken en sporen van de infectie te verwijderen. Het uitvoerbare bestand heeft een op nul gezette build-tijdstempel, waardoor de datummarkering wordt verwijderd die onderzoekers normaal gebruiken om te bepalen wanneer een programma is gecompileerd.
De malware werd ook verspreid via Base64-gecodeerde PowerShell-scripts, die filters kunnen omzeilen die scannen op herkenbare kwaadaardige commando's. Nadat de exfiltratie is voltooid, verwijdert de stealer het payloadbestand en ruimt gerelateerde logboekvermeldingen op, waardoor bewijs van de infectie wordt gewist.
| Naam | EKZ infostealer |
| Type Dreiging | Informatie-stealer, Trojan, Wachtwoordstelend virus |
| Detectienamen | Avast (Win64:MalwareX-gen [Misc]), AVG (Win64:MalwareX-gen [Misc]), Combo Cleaner (Trojan.PasswordStealer.GenericKDS.6861), Kaspersky (Trojan-PSW.Win64.Agent.aea), Microsoft (Trojan:Win32/Qwexlafiba!rfn), Volledige Lijst (VirusTotal) |
| Symptomen | Stealers zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Verspreidingsmethoden | Misbruikte softwarekwetsbaarheid (CVE-2026-35616), kwaadaardige PowerShell-scripts, valse software-update (vermomd als een legitieme Fortinet-patch). |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, accountkaping, aanvullende infecties, financieel verlies. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Conclusie
Slachtoffers van EKZ Stealer kunnen alle in hun browsers opgeslagen inloggegevens verliezen, waaronder accountwachtwoorden, betaalkaartgegevens en sessiecookies die aanvallers toegang kunnen geven tot accounts zonder het oorspronkelijke wachtwoord nodig te hebben. Alle accounts die op het moment van infectie actief waren in de browser, moeten als mogelijk gecompromitteerd worden beschouwd.
De opruimroutine van de stealer maakt het moeilijk om achteraf een infectie te bevestigen, en organisaties die getroffen zijn door de FortiClient EMS-kwetsbaarheid kunnen deze op veel apparaten tegelijk hebben laten uitrollen. EKZ Stealer moet onmiddellijk van het systeem worden verwijderd.
Meer voorbeelden van stealers zijn DebugElevator, Evolution en Needle.
Hoe is EKZ Stealer mijn computer binnengedrongen?
Volgens Arctic Wolf maakte de EKZ Stealer-campagne misbruik van CVE-2026-35616, een kwetsbaarheid in Fortinet's FortiClient EMS die ongeauthenticeerde toegang tot de beheer-API van de server mogelijk maakte. Aanvallers kregen administratieve controle en wijzigden VPN-profielinstellingen om kwaadaardige PowerShell-scripts in de configuratie te injecteren.
Deze scripts werden automatisch uitgevoerd op alle beheerde eindpunten wanneer er een VPN-verbinding tot stand werd gebracht. De payload had de naam FortiEndpoint_Patch.exe, en voor de meeste gebruikers en beheerders zou het eruitzien als een routinematige Fortinet-software-update in plaats van malware.
Buiten deze specifieke campagne bereiken stealers gebruikers vaak via phishing-e-mails, nepwebsites voor softwaredownloads, illegale software en software-cracks.
Hoe voorkomt u de installatie van malware?
Houd alle software up-to-date, inclusief netwerkbeheertools en VPN-clients. Kwetsbaarheden zoals CVE-2026-35616 worden door leveranciers gepatcht zodra ze worden ontdekt, maar apparaten moeten die patches daadwerkelijk ontvangen en toepassen om beschermd te zijn. Download software-updates alleen rechtstreeks van officiële leverancierswebsites.
Wees voorzichtig met onverwachte e-mails die bijlagen of links bevatten, zelfs als ze afkomstig lijken te zijn van een vertrouwde bron. Gebruik betrouwbare antivirussoftware en scan regelmatig op bedreigingen. Als u denkt dat uw computer al is geïnfecteerd, raden wij aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
DOWNLOAD Combo CleanerDoor het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Snelmenu:
- Wat is EKZ Stealer?
- STAP 1. Handmatige verwijdering van EKZ Stealer malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatige verwijdering van malware is een ingewikkelde taak - meestal is het het beste om antivirus- of anti-malwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij aan Combo Cleaner Antivirus voor Windows te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:
Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch startende applicaties, Register- en bestandssysteemlocaties:
Start uw computer opnieuw op in Veilige Modus:
Windows XP- en Windows 7-gebruikers: Start uw computer in Veilige Modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstartproces van uw computer meerdere malen op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet, en selecteer vervolgens Veilige Modus met Netwerkmogelijkheden uit de lijst.
Video die laat zien hoe u Windows 7 start in "Veilige Modus met Netwerkmogelijkheden":
Windows 8-gebruikers: Start Windows 8 in Veilige Modus met Netwerkmogelijkheden - Ga naar het Windows 8 Startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" de optie Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer wordt nu opnieuw opgestart in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw pc wordt opnieuw opgestart in het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige Modus met Netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 start in "Veilige Modus met Netwerkmogelijkheden":
Windows 10-gebruikers: Klik op het Windows-logo en selecteer het aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de "F5"-toets op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in Veilige Modus met Netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 start in "Veilige Modus met Netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-applicatie bovenaan op "Options" en schakel de opties "Hide Empty Locations" en "Hide Windows Entries" uit. Klik na deze procedure op het pictogram "Refresh".
Controleer de lijst die door de Autoruns-applicatie wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.
U moet het volledige pad en de naam noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het zeer belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Delete".
Nadat u de malware via de Autoruns-applicatie hebt verwijderd (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende systeemstart), moet u op uw computer zoeken naar de malwarenaam. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, zorg er dan voor dat u deze verwijdert.
Start uw computer opnieuw op in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Houd er rekening mee dat handmatige verwijdering van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat de malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het het beste om infectie te voorkomen in plaats van later malware te proberen te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste besturingssysteemupdates en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij aan deze te scannen met Combo Cleaner Antivirus voor Windows.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met EKZ Stealer malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Formatteren verwijdert EKZ Stealer, maar wist ook alle gegevens op de schijf. Het uitvoeren van een betrouwbare beveiligingstool zoals Combo Cleaner is de aanbevolen eerste stap; formatteren moet alleen als laatste redmiddel worden overwogen.
Wat zijn de grootste problemen die EKZ Stealer malware kan veroorzaken?
EKZ Stealer kan leiden tot diefstal van alle opgeslagen browserwachtwoorden, sessiecookies en betaalkaartgegevens. Dit kan leiden tot accountovername, identiteitsdiefstal en financiële fraude, vooral als gestolen inloggegevens bank- of e-mailaccounts bevatten.
Wat is het doel van EKZ Stealer malware?
Het doel van EKZ Stealer is het verzamelen van opgeslagen inloggegevens en gevoelige data uit webbrowsers, waaronder wachtwoorden, cookies, autofill-gegevens en betaalkaartgegevens, en die informatie naar de aanvallers te sturen voor misbruik.
Hoe is EKZ Stealer malware mijn computer binnengedrongen?
EKZ Stealer werd waargenomen bij verspreiding via een campagne die misbruik maakte van CVE-2026-35616, een FortiClient EMS-kwetsbaarheid. Aanvallers injecteerden kwaadaardige PowerShell-scripts in VPN-configuraties, waardoor de stealer automatisch werd uitgevoerd op beheerde eindpunten zonder enige gebruikersactie.
Beschermt Combo Cleaner mij tegen malware?
Ja. Combo Cleaner kan de meeste bekende malware detecteren en verwijderen, inclusief informatie-stealers. Het uitvoeren van een volledige systeemscan wordt aanbevolen om ervoor te zorgen dat er geen bedreigingen worden gemist en het systeem grondig schoon is.
Delen:
Facebook
X.com
LinkedIn
Link kopiëren
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie