Ny ClickFix‑variant misbruger DNS‑opslag

Eskil Sørensen
02.16.2026 10:48
Formål: at hente PowerShell‑payload

ClickFix‑angreb har på kort tid udviklet sig fra simple social‑engineering‑tricks til komplekse flertrinsangreb. I en ny kampagne observeret af Microsoft misbruger trusselsaktører nu DNS som kommunikationskanal for at levere anden‑fase‑payloads — og det er første gang, DNS ses anvendt i ClickFix‑angreb. Det skriver Bleeping Computer.

Hvor ClickFix traditionelt går ud på at få brugere til at køre “hjælpekommandoer”, der i virkeligheden installerer malware, introducerer denne variant en mere avanceret taktik: Brugeren narres til at køre et målrettet nslookup‑opslag mod et angriberstyret DNS‑miljø, som derefter returnerer en PowerShell‑kommando indlejret i DNS‑svaret.

DNS som leveringskanal: fra opslag til PowerShell

Ifølge Microsoft instrueres ofrene i at åbne Windows’ Run‑dialog og køre en kommando, der tvinger systemet til at slå domænet example.com op via en specifik ondsindet DNS‑server (84[.]21.189[.]20). Herfra leverer DNS‑serveren et Name:‑felt i svaret, som indeholder en komplet PowerShell‑kommando, der efterfølgende eksekveres direkte via cmd.exe.

Det betyder i praksis, at DNS‑protokollen — normalt en af de mest støjfrie dele af netværkstrafikken — bliver brugt som transportlag for ondsindet kode. Det gør både inspektion og detektion vanskeligere, og det giver angriberne mulighed for at ændre payload “on the fly” uden behov for en webserver.

Microsoft oplyser ifølge Bleeping Computer, at DNS‑serveren ikke længere er aktiv, men at anden‑fase‑kommandoen hentede yderligere malware fra angriberkontrolleret infrastruktur.

Det endelige mål er at installere ModeloRAT, en fjernadgangstrojan, der giver aktørerne kontrol over systemet.

Denne form for kombination af social engineering, DNS‑misbrug og multi‑stage PowerShell‑loading viser, fremgår det af Bleeping Computers omtale, hvor hurtigt ClickFix‑angrebene professionaliseres. De ligner stadig “brugeren hjælper angriberen frivilligt”, men den underliggende teknik bliver markant mere avanceret.

Hurtig evolution i ClickFix‑økosystemet

ClickFix‑angreb har gennem 2025 og 2026 udviklet sig i højt tempo. Ud over klassiske kommando‑baserede angreb har nyere kampagner bl.a. omfattet:

  • ConsentFix – en variant, hvor angribere misbruger Azure CLI’s OAuth‑app til at kapre konti uden kodeord og omgå MFA
  • Misbrug af ChatGPT, Grok og Claude Artifacts til at hoste falske “guides”, der lokker brugere til at køre kommandoer
  • En ny kampagne, der udnytter Pastebin‑kommentarer til at narre kryptobrugere til at indsætte ondsindet JavaScript direkte i browserens konsol under en transaktion

Sidstnævnte er særligt bemærkelsesværdig, fordi angrebet ikke installerer malware, men i stedet overtager funktioner direkte i browseren — et skridt tættere på at kapre webapplikationer uden at kompromittere selve endpoints.

DNS‑varianten hæver barren

At ClickFix nu bruger DNS som transportmekanisme, viser, at aktørerne aktivt leder efter kanaler, der:

  • Er velkendte og sjældent dybdeinspekteres
  • Ser “legitime” ud for brugeren
  • Tillader hurtig ændring af payload uden ændringer i klientleddet

Det er stadig social engineering, men pakket ind i netværksteknikker, der normalt associeres med avancerede trusselsaktører. Det er en kombination, der øger risikoen for, at en uopmærksom bruger hjælper angrebet godt på vej.

Læs mere

Information