Cyberkriminella använder allt mer professionella metoder för att lura användare och kringgå traditionella skydd. Nya analyser visar hur fejkade uppdateringar, visuella illusioner och kommersiellt tillgängliga malware-tjänster gör avancerade cyberattacker både billigare och svårare att upptäcka.
En genomgång av hotdata insamlad mellan juli och september 2025 visar att angripare i ökande grad kombinerar psykologisk manipulation med tekniskt avancerade angrepp. Enligt analysen används bland annat animerade laddningsindikatorer, falska uppdateringsfönster och välkända varumärken för att skapa en känsla av legitimitet och tidspress.
– Angripare lägger i dag stor vikt vid det visuella. När användaren upplever något som ser professionellt och välbekant ut minskar misstänksamheten, samtidigt som färdigpaketerad skadeprogramvara gör det möjligt att genomföra avancerade attacker även utan djup teknisk kompetens, säger Anna Neckelius, säkerhetsexpert på HP i Norden.
Ett av de fall som analyserats rör en kampanj där angripare utgav sig för att representera Colombias åklagarmyndighet. Via e-post skickades falska juridiska notiser som ledde mottagaren till en förfalskad myndighetssajt. Webbplatsen använde bland annat automatisk scrollning för att förstärka intrycket av äkthet och uppmanade användaren att ladda ned ett påstått engångslösenord.
I själva verket innehöll den lösenordsskyddade filen dold skadlig kod som installerade fjärrstyrningsverktyget PureRAT. Programmet ger angriparen full kontroll över den infekterade datorn. Endast en liten andel av proverna upptäcktes av traditionella antiviruslösningar.
I ett annat fall användes en fejkad Adobe-PDF som lockbete. Användare omdirigerades till en sida som påstods uppdatera deras PDF-läsare. Bakom en manipulerad installationsindikator dolde sig en modifierad version av det legitima fjärråtkomstverktyget ScreenConnect.
När programmet startades kopplade det upp sig mot angriparstyrda servrar, vilket gav angriparna möjlighet att fjärrstyra offrets dator utan att väcka misstanke.
Analysen visar även hur populära plattformar som Discord används för att distribuera skadlig kod. Genom att utnyttja tjänstens goda rykte kunde angripare placera malware som först inaktiverade säkerhetsfunktionen Memory Integrity i Windows 11. Därefter installerades informationsstjälaren Phantom Stealer, som säljs som prenumerationstjänst.
Ett tydligt mönster är att angripare i allt större utsträckning fokuserar på att stjäla sessionscookies i stället för lösenord. Cookies visar att en användare redan är inloggad och gör det möjligt att kringgå både lösenord och multifaktorautentisering.
Enligt analysen utgjorde informationsstjälande malware över hälften av de vanligaste skadeprogrammen under tredje kvartalet 2025.
– När angripare kombinerar visuella knep med missbruk av legitima tjänster blir det svårare att förlita sig enbart på traditionell upptäckt. Isolering av riskfyllda interaktioner är ett sätt att bryta attackkedjan innan skadan är skedd, säger Anna Neckelius.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
