Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer. Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS. Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep.
Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer
Microsoft Threat Intelligence har oppdaget en ny variant av ClickFix svindelen der angripere manipulerer Windows brukere til å starte Windows Terminal via hurtigtasten Windows + X → I og deretter lime inn en kommando som egentlig installerer malware. Kampanjen ble observert i februar 2026 og er en videreutvikling av tidligere ClickFix angrep som vanligvis brukte Win + R og Run dialogen. Ved å bruke Windows Terminal, som er et legitimt administrasjonsverktøy, prøver angriperne å unngå sikkerhetsdeteksjon siden aktiviteten ser mer normal ut i systemlogger. Kommandoen som ofrene limer inn er en sterkt kodet PowerShell kommando som starter en kompleks infeksjonskjede. I ett scenario lastes en omdøpt versjon av 7-Zip ned sammen med et komprimert malware payload som deretter etablerer persistens, legger til unntak i Microsoft Defender og samler system og nettleserdata. Til slutt installeres Lumma Stealer, en infostealer skadevare som injiserer seg i Chrome og Edge for å stjele lagrede passord og andre nettleserdata.
Anbefalinger: Brukere bør aldri kopiere og kjøre kommandoer fra nettsteder i Windows Terminal, PowerShell eller Run dialogen uten å forstå hva kommandoen gjør.
Organisasjoner bør implementere overvåking av PowerShell og terminalaktivitet, blokkere mistenkelige skript og styrke brukeropplæring rundt sosial manipulering (Social Engineering) og falske verifiseringssider.
Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS
Sikkerhetsforskere fra Malwarebytes har oppdaget en ny kampanje der angripere har opprettet en falsk nettside som utgir seg for å være CleanMyMac, et populært macOS optimaliseringsverktøy. Brukere som besøker siden blir lokket til å laste ned en tilsynelatende legitim installasjonsfil, men installasjonen inneholder i stedet malware. Når filen kjøres installeres Shub Stealer, en infostealer som kan hente sensitiv informasjon fra systemet, inkludert nettleserdata og lagrede legitimasjonsopplysninger. Skadevare pakken inneholder også en bakdør som spesifikt retter seg mot kryptovaluta wallets, hvor angriperne forsøker å stjele eller omdirigere kryptotransaksjoner ved å manipulere wallet relaterte data og prosesser. Kampanjen utnytter at CleanMyMac er et velkjent verktøy blant macOS brukere, noe som gjør det lettere å lure ofre til å installere programvaren uten å mistenke noe.
Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep
Sikkerhetsforskere fra Push Security har avdekket en ny sosial manipuleringsteknikk kalt InstallFix. Dette er en videreutvikling av ClickFix angrep, hvor angripere lager falske installasjonsguider for populære CLI verktøy. I kampanjen kopierer angripere installasjonssiden til Claude Code, et CLI-verktøy fra Anthropic, og distribuerer siden via sponsede Google annonser som dukker opp når brukere søker etter installasjon av verktøyet. Den falske siden er nesten identisk med den legitime og inneholder legitime lenker til den offisielle siden, men installasjonskommandoene er manipulert slik at de laster ned og kjører skadevare fra malisiøse servere.
Når brukere kopierer og kjører installasjonskommandoene i terminal eller kommandolinje, starter kommandoene blant annet Windows verktøyet mshta.exe for å hente en fjern HTA payload som installerer infostealeren Amatera. Denne skadevaren kan stjele passord, nettlesercookies, sesjonstokener og systeminformasjon. Kampanjen er vanskelig å oppdage fordi falske sider hostes på legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne.
