Cyberkriminelle er begyndt at bruge en ny og ret så overraskende overbevisende til at snyde Windows brugere. Den nye type af malware hedder ClickFix, og den udnytter et falsk Windows Update vindue til at lokke folk til selv at installere malware på deres computer. Angrebet er aktivt i omløb lige nu og bruges til at sprede infostealers, der kan stjæle adgangskoder, browserdata, crypto wallets og andre følsomme oplysninger fra slutbrugerne.
Det særlige ved ClickFix er, at angriberen ikke udnytter en teknisk sårbarhed. I stedet prøver de at udnytte brugeren direkte. Hele pointen er at få dig til at udføre kommandoerne, som installerer malware for dem. Det gør angrebet både effektivt og sværere at opdage, fordi der ikke nødvendigvis er den klassiske exploit med i processen.
Læs Microsoft bekræfter alvorlig Windows 11 24H2 fejl
Denne artikel gennemgår, hvad ClickFix er, hvordan angrebet udføres, hvilke typer malware det installerer, og hvordan du bedst beskytter dig.
“Rather than simply appending malicious data to a file, the malicious code is encoded directly within the pixel data of PNG images, relying on specific colour channels to reconstruct and decrypt the payload in memory,” lyder det fra Huntress
Hvad er ClickFix-angrebet?
ClickFix er en form for social engineering, hvor en falsk Windows Update-side forsøger at overbevise brugeren om, at noget er gået galt i systemet. Brugeren bliver derefter instrueret i at løse den “fejl” ved at åbne forskellige værktøjer i Windows og indsætte en kommando, som i virkeligheden installerer malware.
Ifølge sikkerhedsfirmaet Huntress bruges ClickFix allerede i aktive malware-kampagner, og målet er typisk at installere infostealers som Rhadamanthys og LummaC2 – to af de mest udbredte malwaretyper, der specifikt går efter loginoplysninger og browserdata.
Hvorfor falder så mange for det?
Der er flere psykologiske årsager til, at ClickFix angrebet virker.
- Windows Update er et autoritativt signal
Når skærmbilledet ligner noget, man har set 100 gange før, sænker man automatisk paraderne.
- Brugeren føler, at noget skal fikses
Manipulationen spiller på en følelse af ansvar: “Din computer kan ikke fortsætte uden din hjælp.”
- Clipboard tricket er usynligt
De fleste ved ikke, at hjemmesider kan ændre udklipsholderen. Brugeren tror, det er noget Windows har lagt der.
- Steganografi undgår normale virusdetektorer
Når koden gemmes i et billede, er det sværere for traditionelle antivirusprogrammer at opdage angrebet i tide.
Hvilken malware bliver installeret?
Angrebet bruges primært til to store infostealer familier:
LummaC2: En udbredt infostealer, der stjæler adgangskoder, cookies, crypto wallets, autofill-data og browserhistorik. LummaC2 sælges som abonnement i cyberkriminelle miljøer.
Rhadamanthys: En mere avanceret form for infostealer, der bruges i mange målrettede angreb. Den har et modulopbygget design og kan udvides med nye funktioner. Den kan også stjæle filer, tage screenshots og opfange tastetryk.
Begge typer malware er farlige, fordi de kan give fuld adgang til brugerens online tilstedeværelse.
Sådan beskytter du dig imod ClickFix
1. Windows Update hører aldrig hjemme i en browser
Hvis du mødes af en opdateringsskærm i Chrome, Edge eller Firefox, er den falsk. Windows Update åbner kun via systemet.
2. Kopiér aldrig kommandoer fra hjemmesider, der påstår at være fra Microsoft
Microsoft beder dig aldrig om at åbne DevTools, Run-vinduet eller paste lange kommandoer.
3. Hold øje med processer som mshta.exe og PowerShell
Hvis de åbner uden din handling, kan det være tegn på malware.
4. Undersøg Run-historikken, hvis du er i tvivl
Windows gemmer den seneste kørte kommando. Du finder den i:HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
5. Brug sikkerhedssoftware med behavior-detektion
Moderne sikkerhedsløsninger kan reagere på mistænkelige proceskæder, selv når malware er skjult i billeder.
6. Uddan brugere i social engineering
ClickFix udnytter nøjagtigt samme psykologi som mange phishingsvindelnumre. Awareness er faktisk et enormt stærkt forsvar.
Hvem er mest udsat?
Angrebet rammer især:
- private brugere uden sikkerhedsværktøjer
- små virksomheder uden IT-afdeling
- ansatte, der ikke er trænet i social engineering
- brugere, der ofte besøger sider med torrents, cracks eller pop-up annoncer
- brugere på ældre Windows-versioner med mindre strenge PowerShell regler
Jo mindre erfaring en bruger har med Windows’ værktøjer, jo større er risikoen for at blive narret.
ClickFix angrebet er et godt eksempel på, hvordan moderne cybertrusler ikke altid kræver tekniske exploits. Cyberkriminelle går i stedet efter menneskelig adfærd. Når en falsk opdateringsskærm er lavet godt nok, og instruktionen virker troværdig, skal der kun et enkelt klik til for at kompromittere en computer fuldstændigt.
Angrebet kombinerer social manipulation med tekniske tricks som mshta, PowerShell chains og stenografi i PNG-filer. Det gør det både effektivt og svært at opdage i tide.
Den bedste beskyttelse er derfor viden. Hvis brugere og virksomheder lærer at genkende falske opdateringer og farlige instruktioner, bliver ClickFix langt mindre effektivt.
