ClickFix aanvallen explodeerden met 517% in zes maanden en zijn nu de tweede meest voorkomende aanvalsvector. ESET ontdekte PromptSpy, de eerste Android malware die generatieve AI (Google's Gemini) gebruikt om op het scherm te navigeren.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from ESET's H1 2026 Threat Report regarding the rise of ClickFix social. Article summary: **Important clarification:** The publicly available ESET reports covering H1 2026 data that I found are the **ESET H2 2025 Threat Report** (published June 2026, covering H2 2025) [2][3] and the **ESET MDR Threat Report Q. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fa
Een volledig 'ESET Threat Report H1 2026' is op het moment van schrijven nog niet gepubliceerd. De onderstaande bevindingen zijn gebaseerd op het ESET H2 2025 Threat Report (gepubliceerd juni 2026, over H2 2025) , het ESET MDR Threat Report Q1 2026
, en diverse andere ESET-onderzoekspublicaties uit de H1 2026-periode. Alle claims zijn voorzien van verwijzingen naar de dichtstbijzijnde beschikbare bron.
ClickFix is een social-engineering techniek waarbij gebruikers worden verleid om schadelijke opdrachten te kopiëren en plakken (in PowerShell, het Windows-venster Uitvoeren of een terminal) onder het mom van het verhelpen van valse fouten, CAPTCHA's of browserherstelprompts . ESET's H1 2025-rapport documenteerde een stijging van 517% in zes maanden, waardoor ClickFix de op een na meest voorkomende aanvalsvector na phishing werd, goed voor bijna 8% van alle geblokkeerde aanvallen
.
CrashFix – Deze variant, in januari 2026 geïdentificeerd door Microsoft Defender, laat de browser van het slachtoffer opzettelijk crashen en lokt hen vervolgens uit om schadelijke opdrachten uit te voeren om de functionaliteit te 'herstellen' .
ConsentFix – Een browser-native variant die OAuth-autorisatiestromen misbruikt om Microsoft-accounts te compromitteren zonder malware, credential harvesting of dat de gebruiker een opdracht hoeft te plakken . Beveiligingsbedrijf revel8 observeerde in Q1 2026 zeven actieve ClickFix-varianten, waaronder ConsentFix en een 'AI-fix'-variant die zich richt op de onboarding van AI-tools
.
Een analyse van ongeveer 3.000 live ClickFix-payloads door Threadlinqs Intelligence onthulde dat backend-servers dynamisch vers verhulde PowerShell-opdrachten genereren met behulp van Base64, AES, TripleDES, Rijndael en Deflate-compressie .
Kwaadaardige AI-skills / Agentic Skills – Volgens een rapport van El País (8 juli 2026), waarin ESET's nieuwste dreigingsdata wordt aangehaald, waarschuwde ESET dat in slechts twee maanden tijd het aantal unieke 'AI Skills' (plug-ins voor AI-agenten) dat het analyseerde, groeide van ongeveer 60.000 naar bijna 900.000. Hiervan waren meer dan 3.000 kwaadaardig of verdacht . Dit wijst op een explosieve groei van op AI-agenten gebaseerde aanvalstools.
PromptSpy – ESET Research ontdekte PromptSpy, de eerste bekende Android-malware die generatieve AI gebruikt tijdens de uitvoering . De malware raadpleegt Google's Gemini-model om de elementen op het scherm van het gecompromitteerde apparaat te interpreteren en dynamisch te bepalen waar er getikt moet worden – een oplossing voor het probleem van onvoorspelbare schermindelingen op duizenden telefoonmodellen en talen
. De primaire capaciteit is het inzetten van een VNC-module voor externe controle
. Onderzoekers merkten op dat het een proof-of-concept kan zijn, maar het duidt op een grote verschuiving naar AI-ondersteunde mobiele malware
.
Het aantal ransomware-aanvallen blijft stijgen. Comparitech registreerde wereldwijd 4.217 ransomware-aanvallen in H1 2026 – een stijging van 11% ten opzichte van H2 2025 (3.809), een gemiddelde van 23 aanvallen per dag . ESET voorspelde een stijging van 40% op jaarbasis in het aantal ransomware-slachtoffers op basis van leak-site data uit 2025
.
Meer dan 100 EDR-killer-tools. ESET's H2 2025 Threat Report vermeldt dat EDR-killer-tools zich blijven verspreiden, waarbij Akira, Qilin en Warlock de grootste gebruikers zijn . ESET's diepgaande analyse van de Gentlemen RaaS-bende documenteerde het gebruik van zowel eigen als externe/gelekte EDR-killers, waaronder HexKiller
. Het ESET MDR Q1 2026-rapport bevestigt dat EDR-killers nu een standaard onderdeel zijn van ransomware-operaties
. Meerdere bronnen bevestigen dat het ecosysteem van distincte EDR-killer-tools de 100 heeft overschreden, waarbij BYOVD (Bring Your Own Vulnerable Driver)-technieken worden gebruikt
.
Het aantal losgeldbetalingen daalt naar een historisch dieptepunt. Coveware rapporteerde dat het betalingspercentage in Q4 2025 kelderde naar 23% (een historisch dieptepunt), en in Q4 2025 daalde het verder naar 20% – wat betekent dat minder dan 1 op de 5 slachtoffers betaalde . Chainalysis volgde de totale on-chain ransomware-betalingen op ongeveer $820 miljoen in 2025, het laagste jaartotaal sinds 2021 en een daling van 8% ten opzichte van 2024
. Ondanks dat minder slachtoffers betaalden, steeg de mediane losgeldbetaling fors (een stijging van 132% kwartaal-op-kwartaal naar $325.000), wat suggereert dat aanvallers zich richten op doelwitten met een hogere waarde
.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ClickFix aanvallen explodeerden met 517% in zes maanden en zijn nu de tweede meest voorkomende aanvalsvector.
ClickFix aanvallen explodeerden met 517% in zes maanden en zijn nu de tweede meest voorkomende aanvalsvector. ESET ontdekte PromptSpy, de eerste Android malware die generatieve AI (Google's Gemini) gebruikt om op het scherm te navigeren.
Ransomware aanvallen blijven toenemen (4.217 in H1 2026, +11%), maar het percentage slachtoffers dat losgeld betaalt, daalde naar een historisch laagtepunt van 20%.