security 265130 1280 (1)
Hjem SIKKERHEDNy analyse: Russisk-tilknyttede hackere bruger falske browser-opdateringer til at ramme europæiske virksomheder

Ny analyse: Russisk-tilknyttede hackere bruger falske browser-opdateringer til at ramme europæiske virksomheder

Af Redaktionen
Af Redaktionen

Ny kampagnetype kombinerer fake software-opdateringer og statslig malware – og rammer nu også organisationer med tilknytning til Ukraine i Norden.

En ny sikkerhedsanalyse fra it-sikkerhedsvirksomheden Arctic Wolf viser, at russisk-tilknyttede hackergrupper nu misbruger kompromitterede, ellers legitime hjemmesider til at sprede avanceret malware til virksomheder i Europa.

Angrebsmetoden, kendt som SocGholish, udnytter falske browser-opdateringer – også over for brugere, der forsøger at gøre det rigtige ved at holde deres software opdateret. Truslen vurderes at udgøre en stigende risiko for europæiske virksomheder, herunder i Norden, hvor mange organisationer har samarbejds- eller støtterelationer til Ukraine.

Falske opdateringer som adgang til statslig malware

Analysen tager udgangspunkt i en hændelse, hvor en medarbejder klikkede på en falsk browseropdatering på en kompromitteret hjemmeside. Pop up’en så legitim ud, men aktiverede SocGholish-malware, som straks gav angriberne adgang til systemet. Kort efter forsøgte angriberne at installere den russisk-støttede RomCom-gruppes avancerede ‘Mythic Agent’-loader, som aldrig tidligere er blevet set spredt via SocGholish.

Metoden fungerer ved, at der bliver lagt skadelig kode ind på kompromitterede hjemmesider, som får besøgende til at tro, at deres browser skal opdateres. Klikker brugeren på opdateringen, får angriberne mulighed for at fortsætte angrebet.

Europa – og Norden – i målzonen

security 265130 1280 (1)Analysen viser, at SocGholish særligt rammer virksomheder i Nordamerika og Europa. Samtidig er RomCom-gruppens efterfølgende malware kun aktiv, hvis den kan genkende et specifikt mål, hvilket gør det muligt at skjule meget målrettede angreb inde i brede, globale kampagner. På overfladen ligner angrebet derfor et masseangreb, men i praksis udføres det kun mod udvalgte organisationer.

Hændelsen, der ligger til grund for rapporten, ramte et ingeniørfirma i USA med tidligere samarbejde med en by med tætte forbindelser til Ukraine. Det illustrerer en tydelig tendens: Russisk-støttede aktører går målrettet efter organisationer, der – direkte eller indirekte – kan forbindes til støtte til Ukraine. Det gør truslen særligt relevant i Norden, hvor mange offentlige og private aktører har leveret bistand, rådgivning og samarbejde til Ukraine siden 2022.

Hurtig angrebskæde kræver stærkere forsvar

Rapporten viser, at et angreb kan udvikle sig meget hurtigt: Der kan gå under 30 minutter fra en bruger klikker på en falsk opdatering, til angriberne har installeret avanceret malware og kan etablere fuld fjernadgang til systemet. Den korte tidsramme betyder, at virksomheder ofte ikke når at reagere, før angrebet er i gang.

SocGholish er samtidig tæt knyttet til ransomware, fordi operatøren bag – TA569 – fungerer som en slags digital mellemmand, der sælger adgang til kompromitterede systemer videre til kriminelle grupper. Det gør selv et tilsyneladende lille klik til et potentielt forstadie til et meget større angreb.

Kombinationen af økonomisk motiverede hackere og statsligt støttede aktører gør trusselsbilledet både mere komplekst og sværere at forudsige. Når helt almindelig webtrafik kan misbruges som indgangsvej, stiller det større krav til overvågning, brugerbevidsthed og evnen til at opdage angreb i realtid.

Anbefalinger til nordiske virksomheder

Analysen peger på en række konkrete tiltag, som nordiske virksomheder med fordel kan prioritere for at reducere risikoen:

Tekniske tiltag
  • Sørg for, at alle softwareopdateringer kun installeres via centrale eller officielle kanaler – aldrig via browservinduer.
  • Overvågning af mistænkelig aktivitet på klienter, herunder usædvanlige netværksforbindelser og automatiseret script-kørsel.
  • Brug avancerede endpoint-løsninger, der kan opdage og stoppe forsøg på at installere skjult malware.
Bruger- og proceskontroller
  • Begræns medarbejderes mulighed for at installere software fra ikke-godkendte kilder.
  • Indfør klare procedurer for, hvordan opdateringsbeskeder skal håndteres.
  • Gennemfør løbende awareness-træning, så medarbejdere kan genkende falske opdateringer og manipulerede websites.

Når angreb kan skjules bag helt almindelig webtrafik, og kendte cyberkriminelle værktøjer genbruges i større geopolitiske kampagner, understreger det behovet for stærkere sikkerhedssystemer og løbende overvågning i europæiske – og nordiske – virksomheder.

Hele analysen kan læses her.

Relaterede artikler

Flere indbrud i år: Sådan sikrer du dig i juledagene

IT-ledere mest bekymrede for cybersikkerhed og AI i 2026

Cyberkriminalitet er den største bekymring i forsikringsbranchen

DI: Ny national enhed skal styrke SMV’ernes cybersikkerhed

Tusass har indgået aftale med NetNordic og Nokia om fremtidssikring af Grønlands...

Cyberkriminalitet bliver fuldt industrialiseret af AI i 2026

Opråb fra CyberPilot og SMV Danmark: Black Friday giver hackere frit spil...

DI: brug for langt bedre videndeling om cybertrusler

Når priserne falder, sænker vi paraderne: Rekordmange falske webshops klar til Black...

Geopolitiske spændinger øger danske virksomheders bekymring for cybertrusler

Reklame

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>