ClickFix-angrep bruker falske Windows BSOD-skjermer for å presse brukere til å kjøre malware. Cloud-fildelingstjenester målrettet for bedriftsdatatyveri. Ny D-Link sårbarhet i legacy DSL rutere.
ClickFix-angrep bruker falske Windows BSOD-skjermer for å presse brukere til å kjøre malware
En ny kampanje i ClickFix-serien (sporet som PHALT#BLYX) retter seg mot hotell- og serveringsbransjen i Europa ved å sende phishing-eposter som utgir seg for å være fra Booking.com med en falsk kansellerings- eller refusjonsmelding. Når mottakeren klikker lenken, blir de ført til en svært realistisk kopi av Booking.com-nettsiden hvor et script først viser en «loading-feil» og deretter en fullskjerm «falsk Windows BSOD». Dette skaper illusjonen av et systemkrasj og oppfordrer brukeren til å åpne Kjør-dialogen (Windows Run), lime inn og kjøre en kommando. Kommandoen laster ned og kompilerer et .NET-prosjekt via den legitime MSBuild.exe, som deretter installerer malware (DCRAT) ved å legge til unntak i Windows Defender, etablere persistens og åpne en bakdør for fjernkontroll, keylogging og ekstra last ned (inkludert kryptominer). Angrepet utnytter sosiale ingeniørteknikker for å få brukeren til manuelt å kjøre skadelig kode selv
Cloud-fildelingstjenester målrettet for bedriftsdatatyveri
: En trusselaktør kjent som Zestix (og også identifisert som Sentap i enkelte rapporter) tilbyr å selge stjålne bedriftsdata fra dusinvis av organisasjoner etter å ha skaffet seg tilgang til skybaserte fil-delingstjenester som ShareFile, Nextcloud og OwnCloud. Ifølge etterforskning fra Hudson Rock er den sannsynlige tilgangsmetoden bruk av stjålne brukerlegitimasjoner hentet via info-stjeler-malware som RedLine, Lumma og Vidar, som ofte distribueres via malvertising og phishing-kampanjer. Angripere har brukt disse stjålne legitimasjonene til å logge inn på målte systemer – spesielt der flerefaktorautentisering (MFA) ikke er aktivert – og har lastet ned store mengder sensitive filer som de nå tilbyr på undergrunnsmarkeder. Tjenestene selv er ikke nødvendigvis sårbare i seg selv; problemet ligger i kompromitterte legitimasjoner og dårlig sikkerhetshygiene i organisasjoner.
Ny D-Link sårbarhet i legacy DSL rutere
En nylig oppdaget sårbarhet, CVE‑2026‑0625, gjør det mulig for uautentiserte angripere å utføre kommandoinjeksjon på flere eldre D‑Link DSL rutere via dnscfg.cgi endepunktet.
Sårbarheten ble rapportert etter at Shadowserver oppdaget et uvanlig angrepsforsøk, og D‑Link har bekreftet at flere modeller som har vært end‑of‑life siden 2020 er berørt og ikke vil få sikkerhetsoppdateringer. Selskapet undersøker fortsatt om flere produkter påvirkes, men variasjoner i firmware gjør kartleggingen vanskelig. Angrep krever vanligvis LAN‑tilgang eller at ruteren er konfigurert for ekstern administrasjon.
Brukere anbefales å erstatte EoL‑enheter eller isolere dem i ikke‑kritiske nettverk med strengere sikkerhetsoppsett.
