Vattenhålsattack upptäckt på hackad resesajt
Cybersäkerhetsforskare har identifierat en tidigare okänd ClickFix-metod på en hackad resesajt, som lurar användaren att ladda ner en infostealer, som sedan stjäl känslig information från användarens dator.
Vad är ClickFix
ClickFix är en form av social manipulation och ett snabbt växande problem. En ClickFix är typiskt en falsk dialogruta, som presenterar både ett falskt ”problem” och ett enkelt sätt att lösa det (click to fix). Det kan vara krav på att installera en nödvändig uppdatering eller verifiera att du är en människa (tex CAPTCHA, I’m not a robot) eller rakt på sak en Fix it-knapp som kan kännas bekant och tryggt att klicka på, även för en hyfsat observant användare. För att komma vidare och således lösa ”problemet”, luras användaren att, utan sin vetskap, installera en infostealer eller annan skadlig programvara.
Metoden är ytterst effektiv eftersom användaren inte är medveten om vad denne gör, men framför allt för att handlingen i många fall inte upptäcks av säkerhetssystemen.
Vad är en infostealer?
Kortfattat kan man beskriva Infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har Infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja eller utnyttja den stulna informationen.
Vattenhålsattacker kan göras ännu mer framgångsrika med malvertising
Hackad resesajt – en typisk vattenhålsattack
En vattenhålsattack är en riktad cyberattack som fokuserar på att infektera en utvald webbsida som ofta besöks av en specifik målgrupp eller företag. Cyberbrottslingen hackar webbplatsen och infekterar denna med skadlig kod, som sedan smittar datorerna hos intet ont anande besökare på webbplatsen. Det är som ett rovdjur som väntar vid ett vattenhål i det vilda, där djur kommer för att dricka, och attackerar dem när de är sårbara.
Attacken riktad mot välbärgade reseköpare
Att i dessa tider, när många söker och köper semesterresor, kan man väl tycka att det var typiskt med en vattenhålsattack via en resesajt, som därtill kan göras ännu mer framgångsrik via falsk/skadlig onlineannonsering, malvertising. Cyberbrottslingarna har ingen kontroll över vem som kommer att besöka webbplatsen och bli smittade men i det aktuella exemplet hade man dock fokuserat attacken mot ett väldigt exklusivt resmål. Detta kan tyda på att målgruppen var individer som är tillräckligt rika för att söka en dyr semester, tex företagsledare, från vilka både känslig information och inloggningsuppgifter till användarkonton med stora behörigheter i företagets IT-system kan stjälas.
Vill du veta mer om hur cybersäkerhetsutbildning kan stärka er motståndskraft?
Utbildning av personalen för att öka både riskmedvetenheten och kunskapen om social manipulation, malvertising, ClickFix, mm. Det är ett ypperligt sätt att öka er motståndskraft, speciellt när det kombineras med toppmoderna cybersäkerhetsverktyg.
Vi berättar gärna mer!
Falsk AI-plattform skickar virus istället för video
Nu sprids nyheter om ett nytt cyberhot kopplat till AI, nämligen fake-AI, där användare presenteras med ett verktyg som för generativ AI som kan skapa en video av en bild. Men istället för en videofil så laddar användaren ner skadlig programvara.
Välkänd risk för dataläckage genom felaktigt använd AI
När vi tydligt ser hur AI blir en naturlig del både av arbetslivet och privatlivet, finns ett växande oro för felanvändning, vilket kan resultera till oavsiktlig spridning av känslig information.
I en cybersäkerhetsrapport ses felaktigt använd AI som en av 2025-års stora risker. Det tydligaste riskområdet är dataläckage och händer när företagets personal delar konfidentiell information, med AI-verktyg för att skapa rapporter och göra analyser, utan att vara medveten om att någon obehörig kan få tillgång till och lagra den känsliga informationen.
Felaktigt använd AI ses som en av 2025-års stora risker
Ny risk med fake-AI: ett finurligt lurendrejeri som ny attackmetod
Då vi ser att användning av AI-verktyg blir vardagsmat för många så använder sig millioner människor dagligen av AI för att skapa innehåll. Detta ger nu cyberkriminella en möjlighet att lansera en ny, och extremt finurlig, attackmetod, fake-AI.
Ett aktuellt exempel som marknadsförs genom annonser på vanliga sociala medier, tex Meta, erbjuder en fantastiskt spännande och tillsynes legitim AI-tjänst för att generera video från bild. Man uppmanas att ladda upp tex en bild, under intrycket att de använder riktig AI, för att generera ett filmklipp där bilden används.
Exempel på annons
Laddar ner skadligt program istället för film
När filmen ”skapats av AI-verktyget” instrueras användarna att ladda ner sin genererade film. Tyvärr laddar offren då omedvetet ned en skadlig programvara som ser ut som en mediafil. I en ZIP-fil (arkiv) finns en fil i ett förväntat filformat, tex .mp4 men som i själva verket är en infostealer eller annan skadlig programvara som då installeras av användaren när denne tror sig öppna sitt AI-genererade filmklipp.
Med den skadliga programvaran installerad kan hackaren stjäla känslig information eller fjärrstyra datorn för att åstadkomma annan skada i IT-systemet.
Kommer säker fler varianter
I den här specifika kampanjen känns det skadliga AI-verktyget igen under namn typ VideoDreamMachine, men nya falska verktyg kommer sannolikt att dyka upp, utöver andra liknande kampanjer/tjänster som redan kan vara lanserade...
Policys och utbildning för en ansvarsfull användning av AI
Med ökade risker kopplat till användning av AI så behöver alla företag vara tydliga i sina riktlinjer gällande användning av AI. Med tydliga policys och återkommande utbildning av personalen kan man minska sina risker genom att skapa den nödvändiga kulturen för en ansvarsfull användning av AI genom hela företaget.
Företagsledningen måste leda arbetet och dessutom föregå med gott exempel!
Nätfiskemail som planterar tysta infostealers ökar kraftigt
Cyberbrottslingar övergår mer och mer till en taktik som bygger på att inte synas eller märkas. Metoden att stjäla värdefull information med infostealers och sedan tyst lämna systemet är en växande och mycket allvarlig trend som riskerar att få stora konsekvenser.
I en nyligen publicerad rapport konstaterades att nätfiskemail som sprider infostealers ökade med 84% under 2024 och för 2025 är ökningen 180% under de första månaderna jämfört med 2023.
Vad är Infostealers?
Infostealers används i allt större utsträckning och anses vara ett av de största cyberhoten idag. Kortfattat kan man beskriva infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja den stulna informationen.
Den information man fokuserar på att stjäla är olika typer av användarnamn, lösenord, systeminställningar, cookies, loggfiler, mm som kan användas för att logga in eller åtminstone få fotfäste i ett företags IT-system. Därifrån iscensätts sedan andra cyberattacker eller andra bedrägliga aktiviteter. Den typiska köparen av informationen som en infostealer kommit över är således andra cyberkriminella som, efter köptransaktionen, inleder sin egen informationsstöld alternativt en cyber-, utpressnings- eller bedrägeriattack.
Den information man fokuserar på att stjäla är inloggningsuppgifter
En stor del av cyberattacker görs mot kritisk IT-infrastruktur och under 2024 genomfördes, enligt rapport, 30% av dessa genom användning av godkända och fungerande användarkonton, vilket kan tyckas bevisa utmaningen som finns med att inloggningsuppgifter först stjäls i det tysta och sedan används utan att upptäckas vid cyberbrottets genomförande. Cyberbrottslingarna bryter sig således inte in – de loggar in!
Cyberbrottslingarna bryter sig inte in – de loggar in!
Stjäla information istället för att kryptera
Nästan en av tre cyberincidenter under 2024 var stöld av inloggningsuppgifter, som sedan säljs, snarare än att använda ransomware för att kryptera information som man sedan begär lösensumma för att låsa upp. En stor anledning till detta är att det ska gå snabbt och man vill lämna så lite spår efter sig som möjligt. Därtill finns en trend att lösensummor istället krävs för att man inte ska sälja eller publicera stulen information.
Billigt och lönsam kriminalitet
Nätfiske och/med social manipulation för att sprida infostealers har blivit billiga, skalbara och mycket lönsamma för hotaktörerna. Infostealers möjliggör snabb inhämtning av data, vilket minskar tiden som de cyberkriminellas behöver vara inne i den angripnes system och lämnar dessutom lite spår efter sig. Att det är lönsamt blir tydligt när man konstaterar att under 2024 hade de fem populäraste infostealers mer än åtta miljoner annonser på undanskymda digitala handelsplatser på Darknet, där varje annons kan innehålla hundratals stulna uppgifter.
Infostealers har blivit billiga, skalbara och mycket lönsamma
Verkningsfulla motmedel
Det finns ett antal olika sätt att öka sin motståndskraft som tex en genomarbetad och implementerad cyberssäkerhetspolicy, säkerhetsutbildad personal, moderna och uppdaterade IT-system, tydlig lösenordspolicy med MFA, osv.
Den enskilt vassaste vapnet är dock att övervaka hela sin IT-miljö i realtid och ha en 24/4 beredskap för att jaga hot, stoppa intrång och hantera incidenter.
Hör av dig så hjälper vi er att skapa både en större motståndskraft och en ökad cybertrygghet!
ClickFix, när era användare hjälper cyberkriminella
Ett tydligt ökande hot är en nätfiskemetod som generellt beskrivet bygger på att användaren får ett fiktivt problem, tex inte kommer vidare till en hemsida, samt presenteras med ett logiskt klicka här för att lösa problemet.
ClickFix är ett snabbt växande problem och maskeras typiskt genom en falsk dialogruta eller pop-up, ofta i form av krav på att installera en nödvändig uppdatering eller verifiera att du är en människa. Det kan vara en falsk CAPTCHA, I’m not a robot eller rakt på sak en Fix it-knapp som kan kännas bekant och tryggt att klicka på, även för en hyfsat observant användare. För att komma vidare och således lösa ”problemet”, luras användaren att, utan sin vetskap, installera en infostealer eller annan skadlig programvara. Metoden är ytterst effektiv eftersom användaren inte är medveten om vad denne gör, men framför allt för att handlingen i många fall inte upptäcks av säkerhetssystemen.
ClickFix upptäcks inte av säkerhetssystemen
Hotaktörer
Problemet med ClickFix dök upp under sensommaren 2024 och har ökat stadigt sedan dess och tycks accelerera sedan årsskiftet. Spridningen bland aktörerna tycks bred, där både cyberkriminella grupperingar och statligt sponsrade hackergrupper använder metoden för att lura sina offer och infektera med skadlig programvara.
Attackmetoder
Generellt sätt så bygger metoden på social manipulation och att utnyttja mänskligt beteende och svagheter däri. Man försätter den attackerade användaren i en situation av problem och osäkerhet samt presenterar en lösning på problemet i en bekant paketering eller form.
Vanligt är att leda användaren till en falsk hemsida där attacken utförs ifrån. Förutom nätfiskemail är malvertising, onlineannonser med skadlig kod, och sökmotorförgiftning, där hackers manipulerar resultat från sökmotorer så att falska hemsidor med onda uppsåt hamnar överst bland sökresultaten. Typiskt ser dessa falska annonser och hemsidor ut att komma från legitima och välkända organisationer.
Ett ClickFix-exempel
1. Användaren leds via nätfiske, malvertising eller sökmotorförgiftning till falsk hemsida med ClickFix
2. Hemsidan kräver att användaren klickar på en popup ”jag är ingen robot” eller liknande
3. Felmeddelande dyker upp om att det tex inte gick att verifiera användaren samt instruktioner om hur man löser problemet
4. Användaren följer instruktionen och installerar en infostealer eller annan skadlig programvara
5. Användaren uppfattar att verifieringen lyckades och surfar vidare helt ovetande om vad som hänt
Svårt att skydda sig när egna användare används för att installera skadlig programvara
Vad är en infostealer?
Kortfattat kan man beskriva Infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har Infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja eller utnyttja den stulna informationen.
Den information man fokuserar på att stjäla är olika typer av användarnamn, lösenord, systeminställningar, cookies, loggfiler, mm som kan användas för att logga in eller åtminstone få fotfäste i ett företags IT-system. Därifrån iscensätts sedan andra cyberattacker eller andra bedrägliga aktiviteter. Den typiska köparen av informationen är således andra cyberkriminella som efter köptransaktionen inleder en cyber-, utpressnings- eller bedrägeriattack.
Vill du veta mer om hur cybersäkerhetsutbildning kan stärka er motståndskraft?
Utbildning av personalen för att öka både riskmedvetenheten och kunskapen om nätfiskeutvecklingen är ett ypperligt sätt att öka er motståndskraft, speciellt när det kombineras med toppmoderna cybersäkerhetsverktyg.
Infostealers – ett växande hot med mycket allvarliga följdeffekter
Infostealer-malware, även kallade Infostealers eller bara Stealers växer i populäritet på den cyberkriminella marknaden och öppnar dörren för ännu större cyberrisker. Det visar också tydligt hur kriminella samarbeten fördjupas ytterligare.
Vad är Infostealers?
Infostealers används i allt större utsträckning och anses, av vissa, vara ett av de största cyberhoten idag. Kortfattat kan man beskriva Infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har Infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja den stulna informationen.
man kan "kidnappa” en pågående inloggning och därmed kringgå tex multifaktors-autentisering
Den information man fokuserar på att stjäla är olika typer av användarnamn, lösenord, systeminställningar, cookies, loggfiler, mm som kan användas för att logga in eller åtminstone få fotfäste i ett företags IT-system. Därifrån iscensätts sedan andra cyberattacker eller andra bedrägliga aktiviteter. Den typiska köparen av informationen som en Infostealer kommit över är således andra cyberkriminella som, efter köptransaktionen, inleder en cyber-, utpressnings- eller bedrägeriattack.
Att lyckas stjäla och snabbt sälja aktuella sessionskakor är speciellt högt upp på önskelistan då dessa betingar ett högt pris. Med aktuella sessionskakor kan man nämligen ”kidnappa” en pågående inloggning och därmed kringgå tex multifaktorsautentisering som finns för att skydda system och IT-miljöer mot otillåten inloggning, vilket naturligtvis är otroligt allvarligt!
Marknaden blomstrar
På Infostealermarknaden finns både hackare som är specialiserade på att stjäla och sälja stulen information men också de som erbjuder Infostealers-som-tjänst. Köparen erbjuds i det senare fallet en färdig Infostealertjänst med allt från kundsupport, mjukvaruuppdateringar till detaljerad dokumentation, vilket innebär att även de kriminella med lägre teknisk kompetens kan använda avancerade Infostealers.
Mycket av informationen som stjäls med Infostealers kanske aldrig kommer till användning men blotta tanken att mycket information själs är såklart oroväckande. Vad som dock är otroligt allvarligt är att, enligt en rapport, 90% av företag som haft cyberintrång har förlorat inloggning/behörighetsdata till en Infostealer före intrånget. Detta visar tydligt att Infostealers är ett mycket allvarligt problem då dessa bidrar till att större cyberattacker kan genomföras.
90% av företag som haft cyberintrång har förlorat inloggnings- /behörighetsdata till en Infostealer före intrånget
En sökning på en populär men undanskymd digital handelsplats visade att milliontals Infostealerloggar är till salu, vilket kan anses vara ett tecken på att mognadsgraden är hög i det cyberkriminella ekosystemet där Infostealers alltså spelar en viktig roll.
Hur sprids Infostealers?
Infostealers sprids genom de olika och ofta väldigt kreativa sätt som vi beskrivit i denna blogg vid tidigare tillfällen. Nätfiskeattacker, malvertising och sökmotorförgiftning är några exempel men även falska CAPTCHA-formulär, AI-verktyg och mjukvaror har använts.
Hur kan vi hjälpa er att stärka er motståndskraft?
Moderna cybersäkerhetsverktyg, med konstant övervakning och incidentberedskap är snart ett måste för alla företag. Även utbildning av personalen för att öka både riskmedvetenheten och kunskapen om hur skadliga program sprids är bra ett sätt att öka er motståndskraft.
Hör av er så hjälper er!
