Barracudas sammanställning av incidenter som hanterats och åtgärdats av deras säkerhetscenter visar hur moderna angreppsmetoder ofta utformas för att framstå som normala eller undgå upptäckt.
I maj uppmärksammas bland annat hur angripare utnyttjar intresset för AI‑verktyg, hur inloggningar i Microsoft 365 blir svårare att särskilja från legitim aktivitet samt hur skadlig kod kan köras utan att sparas som filer.
Incidenterna har identifierats och hanterats av Barracuda Managed XDR.
Falsk Claude‑installation används för att sprida skadlig kod
Ett av de tydligaste exemplen visar hur cyberkriminella utnyttjar intresset för AI‑verktyg. I ett fall som Barracudas forskare observerat försökte en användare ladda ner Claude Code, men omdirigerades till en övertygande falsk webbplats.
I stället för att installera den riktiga programvaran utlöste besöket en flerstegsattack. Den skadliga koden kunde köra ett PowerShell‑skript, samla in inloggningsuppgifter lagrade i webbläsaren, kommunicera med en server som kontrollerades av angriparen samt försvåra borttagning genom att installera skadliga certifikat.
Angreppet stoppades inom några sekunder men det var tillräckligt för att viss efterföljande aktivitet skulle kunna genomföras, bland annat åtkomst till inloggningsuppgifter och etablering av kvarvarande åtkomst.
Fallet visar hur namn kopplade till AI används för att få skadlig kod att framstå som trovärdig.
Rekommendationer:
- Säkerställ att programvara endast installeras från leverantörers officiella webbplatser
- Blockera domäner som efterliknar kända tjänster eller nyligen har registrerats
- Uppdatera säkerhetsutbildningar så att de även omfattar AI‑relaterade hot
- Begränsa vilka användare som får installera programvara på företagsenheter
- Använd skydd som kan upptäcka avvikande beteenden, inte enbart kända hot
Inloggningar i Microsoft 365 som liknar legitim aktivitet
Sammanställningen visar också en ökning av skadliga inloggningar i Microsoft 365 där angripare använder IP‑adresser som liknar legitima användares. Det sker bland annat genom VPN‑tjänster eller frekventa IP‑byten.
Under april noterades en ökning med omkring 25 procent av denna typ av inloggningar från länder som vanligtvis betraktas ha låg risk, till exempel Storbritannien och USA. Eftersom det rör sig om lyckade inloggningar och inte misslyckade försök, kan de vara svårare att upptäcka för säkerhetslösningar som fokuserar på upprepade inloggningsfel.
När angripare väl har tillgång till giltiga konton kan de få åtkomst till e‑post, filer och interna system utan att omedelbart väcka misstankar.
Rekommendationer:
- Övervaka alla inloggningar, oavsett utfall
- Följ upp avvikande beteenden efter inloggning, exempelvis nya enheter eller ovanliga tider
- Använd konsekvent multifaktorautentisering, särskilt för e‑post och administrativa konton
- Granska inloggningsloggar regelbundet
- Använd hotinformation för att identifiera riskabla IP‑adresser
Skadlig kod via urklipp för att undvika upptäckt
En tredje observation gäller skadlig kod som körs utan att sparas som filer på enheten. I ett fall laddades skadlig kod in i datorns urklipp och kördes direkt i minnet med hjälp av PowerShell.
Eftersom inga tydliga filer sparades på disk blir denna metod svårare att upptäcka för säkerhetsverktyg som främst analyserar filer. I det aktuella fallet kunde den skadliga koden kommunicera med en kontrollserver, hämta ytterligare kod, kopiera den till urklippet och köra den lokalt.
Den misstänkta kommunikationen med kontrollservern utlöste en säkerhetsvarning och hotet kunde stoppas.
Rekommendationer:
- Övervaka beteenden i systemen, särskilt PowerShell‑aktivitet
- Begränsa användningen av PowerShell till användare som behöver det
- Identifiera och reagera på avvikande skriptbeteenden
- Isolera enheter vid misstänkt kommunikation med kontrollservrar
- Ta höjd för att angrepp inte alltid involverar traditionella skadeprogramsfiler
