ESETs trusseldata for H1 2026 viser at ClickFix angrep har økt med 517 % på seks måneder og er nå den nest vanligste angrepsvektoren, med nye varianter som CrashFix, ConsentFix og AI fix. ESET har oppdaget PromptSpy, den første Android malwaren som bruker generativ AI under kjøring, og over 3000 ondsinnede AI ferdig...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from ESET's H1 2026 Threat Report regarding the rise of ClickFix social. Article summary: **Important clarification:** The publicly available ESET reports covering H1 2026 data that I found are the **ESET H2 2025 Threat Report** (published June 2026, covering H2 2025) [2][3] and the **ESET MDR Threat Report Q. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fa
En fullstendig "ESET Threat Report H1 2026" er ikke publisert per i dag. Funnene nedenfor er hentet fra ESET H2 2025 Threat Report (publisert juni 2026, dekker H2 2025) , ESET MDR Threat Report Q1 2026
, og flere andre ESET-forskningspublikasjoner utgitt i H1 2026-tidsrammen. Alle påstander er sitert til nærmeste tilgjengelige kilde.
ClickFix er en social engineering-teknikk som lurer brukere til å kopiere og lime inn ondsinnede kommandoer (i PowerShell, Windows Kjør-dialogen eller en terminal) under påskudd av å fikse falske feilmeldinger, CAPTCHA-er eller nettlesergjenopprettingsmeldinger . ESETs H1 2025-rapport dokumenterte at ClickFix økte med 517 % på seks måneder og ble den nest vanligste angrepsvektoren etter phishing, og utgjorde nesten 8 % av alle blokkerte angrep
.
CrashFix – Identifisert av Microsoft Defender i januar 2026. Denne varianten krasjer bevisst offerets nettleser, for så å lokke dem til å utføre ondsinnede kommandoer for å "gjenopprette" funksjonalitet .
ConsentFix – En nettleserbasert variant som misbruker OAuth-autorisasjonsflyter for å kompromittere Microsoft-kontoer uten skadelig programvare, innhøsting av legitimasjon eller at brukeren engang trenger å lime inn en kommando . Sikkerhetsselskapet revel8 observerte syv aktive ClickFix-varianter i Q1 2026, inkludert ConsentFix og en "AI-fix"-variant som retter seg mot oppsett av AI-verktøy
.
En analyse av omtrent 3000 levende ClickFix-nyttelaster fra Threadlinqs Intelligence avslørte at backend-servere dynamisk genererer nylig obfuserte PowerShell-kommandoer ved hjelp av Base64, AES, TripleDES, Rijndael og Deflate-komprimering .
Ondsinnede AI-ferdigheter / Agentiske ferdigheter – I følge en rapport fra El País (8. juli 2026) som siterer ESETs nyeste trusseldata, varslet ESET at i løpet av bare to måneder vokste antallet unike "AI-ferdigheter" (plugins for AI-agenter) de analyserte fra omtrent 60 000 til nesten 900 000. Av disse var antallet ondsinnede eller mistenkelige AI-ferdigheter over 3000 . Dette representerer en eksplosiv vekst i angrepsverktøy basert på AI-agenter.
PromptSpy – ESET Research oppdaget PromptSpy, den første kjente Android-malwaren som bruker generativ AI under kjøring . Malwaren spør Googles Gemini-modell for å tolke skjermelementer på den kompromitterte enheten og dynamisk bestemme hvor den skal trykke – og løser dermed problemet med uforutsigbare skjermoppsett på tvers av tusenvis av telefonmodeller og språk
. Hovedegenskapen er å distribuere en VNC-modul for fjernkontroll
. Forskere bemerket at den kan være et konseptbevis, men det signaliserer et stort skifte mot AI-assistert mobilmalware
.
Antall løsepenge-angrep fortsetter å stige. Comparitech registrerte 4217 løsepenge-angrep globalt i H1 2026 – en økning på 11 % fra H2 2025 (3809), med et gjennomsnitt på 23 angrep per dag . ESET anslår en årlig økning på 40 % i antall ofre basert på data fra lekkasjesider for 2025
.
Over 100 EDR-dreperverktøy. ESETs H2 2025 Threat Report bemerker at EDR-dreperverktøy fortsetter å spre seg, med Akira, Qilin og Warlock blant toppbrukerne . ESETs dybdeanalyse av Gentlemen RaaS-gjengen dokumenterte bruken av både egne og tredjeparts/lekkede EDR-drepere, inkludert HexKiller
. ESET MDR Q1 2026-rapporten bekrefter at EDR-drepere nå er en standardkomponent i løsepenge-operasjoner
. Flere kilder bekrefter at økosystemet av distinkte EDR-dreperverktøy har passert 100, og bruker BYOVD-teknikker (Bring Your Own Vulnerable Driver)
.
Løsepenge-betalingsrater faller til historisk lavt nivå. Coveware rapporterte at betalingsraten for Q4 2025 stupte til 23 % (en historisk bunn), og innen Q4 2025 falt den ytterligere til 20 % – noe som betyr at færre enn 1 av 5 ofre betalte . Chainalysis sporet totale løsepenge-betalinger på kjeden til omtrent 820 millioner dollar i 2025, det laveste årstall siden 2021 og et fall på 8 % fra 2024
. Til tross for færre ofre som betaler, steg den mediane løsepenge-betalingen kraftig (opp 132 % kvartal over kvartal til 325 000 dollar), noe som tyder på at angripere konsentrerer seg om høyverdige mål
.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ESETs trusseldata for H1 2026 viser at ClickFix angrep har økt med 517 % på seks måneder og er nå den nest vanligste angrepsvektoren, med nye varianter som CrashFix, ConsentFix og AI fix.
ESETs trusseldata for H1 2026 viser at ClickFix angrep har økt med 517 % på seks måneder og er nå den nest vanligste angrepsvektoren, med nye varianter som CrashFix, ConsentFix og AI fix. ESET har oppdaget PromptSpy, den første Android malwaren som bruker generativ AI under kjøring, og over 3000 ondsinnede AI ferdigheter (plugins for AI agenter).
Løsepenge angrep fortsetter å øke, men betalingsratene har falt til historisk lave 20 %, samtidig som over 100 forskjellige EDR dreperverktøy er i omløp.