Ett nytt avancerat verktyg, CypherLoc, används alltmer i omfattande nätbedrägerier. Metoden går ut på att låsa användarnas webbläsare, skapa panik och få dem att ringa ett falskt support-nummer. Attackerna har fått stor spridning sedan början av 2026 och en ny analys från cybersäkerhetsföretaget Barracuda visar att de kombinerar metoder som gör dem svåra att upptäcka.
Sedan årsskiftet har cybersäkerhetsföretagets forskare observerat cirka 2,8 miljoner attacker där CypherLoc har använts. Verktyget är ett så kallat scareware eller skrämselprogram som används för att lura och få användaren att agera under stress.
– CypherLoc visar hur moderna scareware rör sig bort från traditionell skadlig kod och i stället mot webbläsarbaserade, användardrivna bedrägerier som är svåra att upptäcka och mycket effektiva. Verktyget utnyttjar själva webbläsaren för att pressa användare att agera. Genom att kombinera dold kod, fördröjd aktivering och aggressivt beteende på skärmen skapas en övertygande bild av ett allvarligt systemproblem, samtidigt som man lämnar mycket få tekniska spår, säger Saravanan Mohankumar på Barracudas team för hotanalys.
Så går attacken till
Attacken börjar oftast med ett nätfiskemejl som innehåller en länk, antingen direkt i meddelandet eller i en bilaga. När länken öppnas visas till en början en till synes normal webbsida.
Den skadliga koden är dold på sidan och aktiveras först när vissa villkor är uppfyllda, till exempel att en särskild kodnyckel finns på plats och att användaren inte använder en säkerhetsskanner eller testmiljö. När attacken påbörjas växlar sidan till ett helskärmsläge som kontrolleras av angriparen. Webbläsaren låses, kontroller inaktiveras och användaren möts av falska och alarmerande säkerhetsvarningar som manar till omedelbar handling.
För att förhindra att användaren lämnar sidan använder angriparna flera metoder. Webbläsaren kan bli långsam eller krascha om sidan granskas närmare. Markören döljs och menyer slutar fungera. Om användaren försöker stänga sidan kan den låsa sig på nytt.
Attacken förstärks med olika typer av psykologisk press i form av höga varningsljud, visning av användarens IP-adress, falska inloggningsrutor som inte fungerar och upprepade felmeddelanden. Syftet är att skapa oro och få situationen att framstå som akut.
Under hela förloppet visas ett telefonnummer som framställs som den enda lösningen. Den som ringer kopplas till bedragare som utger sig för att vara legitim teknisk support. Där fortsätter angreppet genom social manipulation, till exempel för att komma över inloggningsuppgifter.
Svårupptäckta angrepp i webbläsaren
Enligt analysen använder angriparna metoder för att undvika att upptäckas av säkerhetsverktyg som skannrar och isolerade testmiljöer. Eftersom den skadliga koden är dold och bara aktiveras under vissa förutsättningar kan angreppet passera obemärkt i många kontroller.
Samtidigt bygger det på att få användaren att agera. Cybersäkerhetsföretaget betonar därför vikten av att känna igen hur legitima säkerhetsvarningar ser ut: de visar inte telefonnummer, låser inte webbläsaren och kräver inte omedelbara åtgärder via popupfönster.
Källa: Barracuda
