Cyberangrepp blir allt svårare att skilja från legitim aktivitet. En ny sammanställning från säkerhetsföretaget Barracuda visar hur angripare utnyttjar intresset för AI-verktyg, genomför inloggningar som liknar normala användares beteenden och använder skadlig kod som inte lämnar traditionella spår efter sig. Händelserna har identifierats och hanterats av företagets säkerhetscenter under maj 2026.
Säkerhetsföretaget Barracuda beskriver hur moderna angreppsmetoder i allt större utsträckning utformas för att undvika upptäckt och framstå som legitima aktiviteter.
Falsk AI-programvara användes i angrepp
Ett av de uppmärksammade fallen rörde en användare som försökte ladda ner AI-verktyget Claude Code men i stället skickades vidare till en falsk webbplats. Besöket utlöste en attack där skadlig kod kunde köra PowerShell-skript, samla in sparade inloggningsuppgifter, kommunicera med angriparstyrda servrar och installera skadliga certifikat.
Angreppet stoppades snabbt, men viss aktivitet hann genomföras. Enligt rapporten visar händelsen hur välkända AI-namn används för att skapa förtroende kring skadlig programvara.
Svårupptäckta inloggningar i Microsoft 365
Rapporten beskriver även en ökning av skadliga inloggningar i Microsoft 365 där angripare använder IP-adresser som liknar legitima användares. Metoden bygger bland annat på VPN-tjänster och frekventa byten av IP-adresser.
Under april registrerades en ökning på omkring 25 procent av denna typ av aktivitet från länder som Storbritannien och USA. Eftersom det handlar om lyckade inloggningar kan aktiviteten vara svårare att upptäcka än traditionella intrångsförsök med upprepade inloggningsfel.
När ett konto väl har komprometterats kan angripare få åtkomst till e-post, dokument och interna system utan att omedelbart väcka misstanke.
Skadlig kod kördes utan att sparas på datorn
En tredje metod som lyfts fram bygger på att skadlig kod laddas in via datorns urklipp och körs direkt i minnet med hjälp av PowerShell. Eftersom inga filer sparas på enheten blir angreppet svårare att upptäcka för säkerhetslösningar som främst analyserar filer.
I det aktuella fallet kunde den skadliga koden kommunicera med en kontrollserver, hämta ytterligare kod och köra den lokalt. Aktiviteten upptäcktes efter misstänkt kommunikation med den externa servern och kunde därefter stoppas.
Källa: Barracuda
