CrashFix – Identifikován společností Microsoft Defender v lednu 2026. Tato varianta záměrně způsobí pád prohlížeče oběti a poté ji naláká ke spuštění škodlivých příkazů pod záminkou „obnovení" funkčnosti .
ConsentFix – Nativní varianta v prohlížeči, která zneužívá autorizační toky OAuth k ohrožení účtů Microsoft bez malwaru, krádeže přihlašovacích údajů nebo dokonce bez nutnosti, aby uživatel vkládal příkaz . Bezpečnostní firma revel8 v Q1 2026 pozorovala sedm aktivních variant ClickFix, včetně ConsentFix a varianty „AI-fix" zaměřené na proces registrace do AI nástrojů
.
Analýza přibližně 3 000 živých ClickFix payloadů společností Threadlinqs Intelligence odhalila, že backendové servery dynamicky generují čerstvě obfuskované příkazy PowerShellu pomocí Base64, AES, TripleDES, Rijndael a komprese Deflate .
Škodlivé AI dovednosti / Agentické dovednosti – Podle zprávy El País (8. července 2026) s odkazem na nejnovější data ESETu, analytici varovali, že během pouhých dvou měsíců vzrostl počet unikátních „AI Skills" (pluginů pro AI agenty), které analyzovali, z přibližně 60 000 na téměř 900 000. Z nich bylo identifikováno přes 3 000 jako škodlivých nebo podezřelých . To představuje explozivní růst nástrojů pro útoky založené na AI agentech.
PromptSpy – Výzkumníci ESETu objevili PromptSpy, první známý Android malware, který během svého provádění používá generativní AI . Malware se dotazuje modelu Google Gemini na interpretaci prvků na obrazovce kompromitovaného zařízení a dynamicky určuje, kam klepnout – čímž řeší problém nepředvídatelných rozvržení obrazovky napříč tisíci modelů telefonů a jazyky
. Jeho primární schopností je nasazení modulu VNC pro vzdálené ovládání
. Výzkumníci poznamenali, že se může jednat o proof-of-concept, ale signalizuje významný posun směrem k mobilnímu malwaru s podporou AI
.
Objem ransomwarových útoků stále roste. Společnost Comparitech zaznamenala v první polovině roku 2026 celosvětově 4 217 ransomwarových útoků – což je 11% nárůst oproti druhé polovině roku 2025 (3 809), v průměru 23 útoků denně . ESET na základě dat z únikových webů za rok 2025 předpověděl 40% meziroční nárůst počtu obětí ransomwaru
.
Přes 100 nástrojů na zabíjení EDR. Zpráva ESET H2 2025 Threat Report uvádí, že nástroje na zabíjení EDR (Endpoint Detection and Response) se nadále šíří, přičemž mezi nejčastější uživatele patří skupiny Akira, Qilin a Warlock . Hloubková analýza gangu Gentlemen RaaS společností ESET zdokumentovala použití jak vlastních, tak i třetích stran/uniknulých nástrojů EDR killer včetně HexKiller
. Zpráva ESET MDR Q1 2026 potvrzuje, že nástroje na zabíjení EDR jsou nyní standardní součástí ransomwarových operací
. Více zdrojů potvrzuje, že ekosystém odlišných nástrojů pro zabíjení EDR překonal hranici 100 a využívá techniky BYOVD (Bring Your Own Vulnerable Driver)
.
Míra výplat výkupného klesá na historické minimum. Coveware uvedl, že míra plateb výkupného ve čtvrtém čtvrtletí 2025 prudce klesla na 23 % (historické minimum) a ve čtvrtém čtvrtletí 2025 dále klesla na 20 % – což znamená, že platí méně než 1 z 5 obětí . Chainalysis sledovala celkové on-chain platby výkupného v roce 2025 na zhruba 820 milionů dolarů, což je nejnižší celoroční hodnota od roku 2021 a 8% pokles oproti roku 2024
. Navzdory nižšímu počtu platících obětí medián výkupného prudce vzrostl (o 132 % QoQ na 325 000 dolarů), což naznačuje, že útočníci se zaměřují na cíle s vyšší hodnotou
.