Cyber-angrebsmetoder ofte designet til at fremstå som normale

Blandt de hændelser, der fremhæves, er angriberes udnyttelse af interessen for AI-værktøjer, login til Microsoft 365, der er sværere at skelne fra legitim aktivitet, samt malware, der kan afvikles uden at blive gemt som filer.

Hændelserne er identificeret og håndteret af Barracuda Managed XDR.

Falsk Claude-installation bruges til at sprede malware

Et af de tydeligste eksempler viser, hvordan cyberkriminelle udnytter interessen for AI-værktøjer. I et tilfælde, som Barracudas forskere observerede, forsøgte en bruger at downloade Claude Code, men blev omdirigeret til en overbevisende falsk hjemmeside.

I stedet for at installere den rigtige software udløste besøget et flertrinsangreb. Den skadelige kode kunne afvikle et PowerShell-script, indsamle loginoplysninger lagret i browseren, kommunikere med en server kontrolleret af angriberen samt gøre fjernelse vanskeligere ved at installere ondsindede certifikater.

Angrebet blev stoppet inden for få sekunder, men det var tilstrækkeligt til, at visse efterfølgende aktiviteter kunne gennemføres, herunder adgang til loginoplysninger og etablering af vedvarende adgang.

Sagen viser, hvordan navne knyttet til AI bruges til at få malware til at fremstå troværdig.

Anbefalinger:

• Sørg for, at software kun installeres fra leverandørernes officielle hjemmesider.

• Bloker domæner, der efterligner kendte tjenester eller er blevet registreret for nylig.

• Opdater sikkerhedstræningen, så den også omfatter AI-relaterede trusler.

• Begræns, hvilke brugere der må installere software på virksomhedens enheder.

• Anvend sikkerhedsløsninger, der kan opdage afvigende adfærd og ikke kun kendte trusler.

Login til Microsoft 365, der ligner legitim aktivitet

Oversigten viser også en stigning i ondsindede login til Microsoft 365, hvor angribere anvender IP-adresser, der ligner legitime brugeres. Det sker blandt andet via VPN-tjenester eller hyppige skift af IP-adresse.

I april blev der registreret en stigning på omkring 25 procent i denne type login fra lande, som normalt betragtes som lavrisikolande, eksempelvis Storbritannien og USA. Da der er tale om vellykkede login og ikke mislykkede forsøg, kan de være sværere at opdage for sikkerhedsløsninger, der primært fokuserer på gentagne loginfejl.

Når angriberne først har adgang til gyldige konti, kan de få adgang til e-mails, filer og interne systemer uden straks at vække mistanke.

Anbefalinger:

• Overvåg alle login, uanset udfald.

• Følg op på afvigende adfærd efter login, eksempelvis nye enheder eller usædvanlige tidspunkter.

• Anvend konsekvent multifaktorgodkendelse, især til e-mail- og administrative konti.

• Gennemgå loginlogfiler regelmæssigt.

• Brug trusselsinformation til at identificere risikable IP-adresser.

Malware via udklipsholderen for at undgå opdagelse

En tredje observation handler om malware, der afvikles uden at blive gemt som filer på enheden. I et tilfælde blev skadelig kode indlæst i computerens udklipsholder og kørt direkte i hukommelsen ved hjælp af PowerShell.

Da der ikke gemmes synlige filer på harddisken, er metoden vanskeligere at opdage for sikkerhedsværktøjer, der primært analyserer filer. I det konkrete tilfælde kunne den skadelige kode kommunikere med en kontrolserver, hente yderligere kode, kopiere den til udklipsholderen og afvikle den lokalt.

Den mistænkelige kommunikation med kontrolserveren udløste en sikkerhedsadvarsel, og truslen blev stoppet.