Danny Weber
17:31 28-11-2025
© RusPhotoBank
Huntress avslører kampanje med falsk Windows 11-oppdatering: ClickFix-lignende triks får ofre til å starte LummaC2 og Rhadamanthys som stjeler passord og data.
Cybersikkerhetsspesialistene hos Huntress har avdekket en ny bølge angrep bygget rundt et ClickFix-lignende knep som kamuflerer en skadelig prosess som en obligatorisk Windows 11-oppdatering. Målet får opp en fullskjermsforfalskning av Windows Update-senteret som knapt lar seg skille fra det ekte grensesnittet, noe som gir et sterkt inntrykk av legitimitet. I praksis spiller metoden på forventningene våre til hvordan en vanlig oppdatering ser ut.
Brukeren bes om å oppdatere systemet, mens en kommando i det stille legges i utklippstavlen. Deretter ledes vedkommende til å åpne Win + R, lime inn den forhåndsutfylte strengen og bekrefte kjøringen—slik starter den skadelige koden med brukerens egen handling. Fordi prosessen fremstår som et rutinemessig systemsteg, glir den forbi mange forsvarsmekanismer. Et snedig grep, nettopp fordi det ser ut som normal drift.
Når angrepet først er aktivert, laster og installerer opplegget LummaC2 og Rhadamanthys. Disse verktøyene er laget for skjult innsamling av sensitiv informasjon—fra kontolegitimasjon og informasjonskapsler til data fra kryptolommebøker og lagrede passord. Ifølge forskerne har kampanjen pågått siden tidlig i oktober, men omfanget er fortsatt uklart, og ingen tall over ofre er oppgitt. Risikoen skjerpes av hvor autentisk lokkemiddelet fremstår og av at brukeren i praksis selv setter i gang den ondsinnede kjeden uten å ane det—akkurat den typen sosial manipulering som oftest treffer.