CrashFix – Diese von Microsoft Defender im Januar 2026 identifizierte Variante stürzt den Browser des Opfers gezielt ab und lockt es dann mit dem Versprechen, die Funktionalität wiederherzustellen, zur Ausführung schädlicher Befehle .
ConsentFix – Eine browserbasierte Variante, die OAuth-Autorisierungsflüsse missbraucht, um Microsoft-Konten zu kompromittieren – ganz ohne Malware, Diebstahl von Anmeldedaten oder dass der Nutzer überhaupt einen Befehl einfügen muss . Die Sicherheitsfirma revel8 beobachtete im ersten Quartal 2026 sieben aktive ClickFix-Varianten, darunter ConsentFix und eine „AI-Fix“-Variante, die sich den Onboarding-Prozess von KI-Tools zunutze macht
.
Eine Analyse von rund 3.000 aktiven ClickFix-Payloads durch Threadlinqs Intelligence ergab, dass Backend-Server dynamisch frisch verschleierte PowerShell-Befehle generieren – unter Verwendung von Base64, AES, TripleDES, Rijndael und Deflate-Kompression .
Schädliche KI-Skills / Agentic Skills – Einem Bericht von El País (8. Juli 2026) zufolge, der sich auf aktuelle ESET-Bedrohungsdaten stützt, warnte ESET, dass die Zahl der von ihm analysierten, eindeutigen „KI-Skills“ (Plugins für KI-Agenten) innerhalb von nur zwei Monaten von rund 60.000 auf fast 900.000 angewachsen sei. Davon waren über 3.000 als bösartig oder verdächtig eingestuft . Dies deutet auf ein explosives Wachstum von Angriffswerkzeugen hin, die auf KI-Agenten basieren.
PromptSpy – ESET Research entdeckte PromptSpy, die erste bekannte Android-Malware, die während ihres Ausführungsflusses generative KI einsetzt . Die Malware befragt Googles Gemini-Modell, um die auf dem kompromittierten Gerät angezeigten Bildschirmelemente zu interpretieren und dynamisch zu bestimmen, wo sie antippen muss. So löst sie das Problem unvorhersehbarer Bildschirmlayouts bei tausenden von Telefonmodellen und Sprachen
. Ihre Hauptfähigkeit ist die Bereitstellung eines VNC-Moduls zur Fernsteuerung
. Forscher wiesen darauf hin, dass es sich um einen Proof-of-Concept handeln könnte, der jedoch einen bedeutenden Wandel hin zu KI-gestützter Mobil-Malware signalisiert
.
Die Angriffszahlen bei Ransomware steigen weiter. Comparitech verzeichnete im ersten Halbjahr 2026 weltweit 4.217 Ransomware-Angriffe – ein Anstieg von 11 % gegenüber dem zweiten Halbjahr 2025 (3.809). Das entspricht durchschnittlich 23 Angriffen pro Tag . ESET prognostizierte auf Basis der Daten von Leak-Seiten aus dem Jahr 2025 einen Anstieg der Opferzahlen um 40 % im Jahresvergleich
.
Über 100 EDR-Killer-Tools. Der ESET H2 2025 Threat Report stellt fest, dass EDR-Killer-Tools weiterhin stark verbreitet sind, wobei Akira, Qilin und Warlock zu den Hauptanwendern zählen . ESETs detaillierte Analyse der Gentlemen-Ransomware-Bande dokumentierte deren Verwendung sowohl eigener als auch von Drittanbietern stammender oder geleakter EDR-Killer, darunter HexKiller
. Der ESET MDR Q1 2026 Report bestätigt, dass EDR-Killer inzwischen ein fester Bestandteil von Ransomware-Operationen sind
. Mehrere Quellen bestätigen, dass die Anzahl der verschiedenen EDR-Killer-Tools die 100 überschritten hat und dabei BYOVD-Techniken (Bring Your Own Vulnerable Driver) zum Einsatz kommen
.
Lösegeldzahlungen fallen auf ein historisches Tief. Coveware berichtete, dass die Lösegeldzahlungsrate im vierten Quartal 2025 auf 23 % (ein historischer Tiefstand) und bis zum vierten Quartal 2025 weiter auf 20 % fiel – das bedeutet, dass weniger als 1 von 5 Opfern zahlte . Chainalysis verfolgte die gesamten On-Chain-Ransomware-Zahlungen im Jahr 2025 auf rund 820 Millionen US-Dollar. Dies ist der niedrigste Wert für ein Gesamtjahr seit 2021 und ein Rückgang um 8 % gegenüber 2024
. Obwohl weniger Opfer zahlten, stieg die mittlere Lösegeldzahlung stark an (um 132 % im Quartalsvergleich auf 325.000 US-Dollar), was darauf hindeutet, dass Angreifer sich auf Ziele mit höherem Wert konzentrieren
.