malware

Business

Ny rapport: It-kriminelle stjæler over en million bankkonti

10. april 2026 Lars Bennetzen
Sikkerhedsvirksomheden Kaspersky udgav torsdag en ny rapport, der dokumenterer et markant skift i metoderne bag finansiel it-kriminalitet. I løbet af 2025 blev mere end 1.000.000 netbankkonti, tilhørende kunder i verdens 100 største banker, kompromitteret af såkaldte infostealere. Mens antallet af brugere ramt af traditionel finansiel pc-malware faldt, voksede angreb via mobilbank-malware med en faktor på 1,5 sammenlignet med 2024. Samtidig steg opdagelsen af infostealere på pc’er globalt med 59%. Disse ondsindede programmer høster loginoplysninger, cookies, bankkortnumre og autofyld-data, som efterfølgende udnyttes til at overtage ofrenes konti. Phishing udgør fortsat en massiv trussel, men svindlernes mål har ændret sig. Sider, der efterligner webshops, dominerede det finansielle phishing-landskab med 48,5% af angrebene i 2025, hvilket er en stigning på 10,3% fra 2024. Til gengæld faldt phishing rettet mod banker med 16,5% og landede på 26,1%. Betalingssystemer stod for 25,5%, hvilket udgør en stigning på 6,2%. Angrebene varierer også markant afhængigt af den geografiske region. I Mellemøsten er 85,8% af den finansielle phishing rettet mod e-handel, mens bank-phishing fører an i Afrika med 53,75%. Latinamerika viser en todelt fordeling med 46,3% rettet mod e-handel og 42,25% mod banker. Data fra rapporten understreger ligeledes levetiden på de stjålne oplysninger. Hele 74% af de betalingskort, der blev kompromitteret af infostealere og efterfølgende offentliggjort på det mørke net i 2025, var fortsat gyldige i marts 2026. Det betyder i praksis, at it-kriminelle kan udnytte kort, der er stjålet flere måneder forinden. Polina Tretyak, der er analytiker for Digital Footprint Intelligence hos Kaspersky, sætter ord på udviklingen: …. (læs mere her)
Nyheder

Ny Android-malware truer enheder direkte fra fabrikken

17. februar 2026 Lars Bennetzen
Sikkerhedsfirmaet Kaspersky har opdaget en ny omfattende trussel mod Android-platformen. Malwaren, der har fået navnet Keenadu, adskiller sig fra mange traditionelle virusser ved sin evne til at infiltrere enheder på flere niveauer, herunder direkte i firmwaren, før forbrugeren overhovedet har pakket produktet ud. Ifølge opgørelser fra februar 2026 har Kaspersky allerede registreret over 13.000 inficerede enheder. Selvom de hårdest ramte lande tæller Rusland, Japan og Brasilien, er der også konstateret infektioner i vores nærområder som Tyskland og Holland. Dybt integreret i systemet Keenadu optræder i forskellige varianter, hvoraf den mest indgribende er integration direkte i enhedens firmware. Det vurderes at ske på et tidspunkt i forsyningskæden under produktionen af visse Android-tablets. Når malwaren ligger i firmwaren, fungerer den som en såkaldt bagdør, der giver bagmændene fuld kontrol over enheden. Det betyder i praksis, at malwaren kan: Interessant nok indeholder koden specifikke begrænsninger. Malwaren aktiveres ikke, hvis enheden er indstillet til kinesisk sprog og tidszone, eller hvis enheden mangler Google Play Store og Google Play Services. Systemapps og ansigtsgenkendelse Udover firmware-infektioner er Keenadu også fundet indlejret i systemapplikationer. Her er rettighederne typisk mere begrænsede end ved firmware-varianten, men da systemapps har udvidede privilegier, udgør det stadig en risiko. Kaspersky har blandt andet fundet malwaren i den software, der håndterer ansigtsgenkendelse ved oplåsning af enheden, hvilket teoretisk giver angriberne mulighed for at opsnappe biometriske data. Også startskærms-applikationer (launchers) har været ramt. Fundet i Google Play Distributionen begrænser sig ikke til produktionsleddet. Sikkerhedsfirmaet har fundet inficerede apps til styring af smart home-kameraer direkte …. (læs mere her)
Nyheder

Hackere gemmer skadelig software bag falske animationer

17. december 2025 Lars Bennetzen
Cyberkriminelle har fundet en ny metode til at omgå brugernes skepsis. Ved at anvende harmløst udseende animationer, såsom indlæsningssøjler eller pop-up-advarsler, lykkes det i stigende grad hackere at få intetanende ofre til at downloade skadelig kode. Det fremgår af en ny trusselsrapport fra HP Wolf Security, der er udkommet her i december 2025. Analysen peger på, at de visuelle virkemidler får brugere til at sænke paraderne, hvilket giver angriberne adgang til enhederne. Købte værktøjer gør angrebene nemmere Rapporten afslører, at hackerne i høj grad benytter sig af kommercielt tilgængelige “Malware-as-a-Service”-tjenester. Værktøjer som PureRAT og Phantom Stealer bliver løbende opdateret for at undgå detektion af sikkerhedssoftware. Nye angrebstendenser viser sig ved stort set hver kvartalsvise opgørelse, vi laver. Denne gang er ingen undtagelse, da hackere nu forsøger sig med fælder som falske installationsbilleder og animerede loadingsøjler, der presser og tilskynder til at klikke ind på malware. Ovenikøbet udnytter de tilkøbte malwarepakker, der løbende opdateres for at holde trit med tidens sikkerhedsløsninger. Patrick Schläpfer, cybersikkerhedsforsker hos HP For at øge troværdigheden hostes de skadelige filer ofte på kendte platforme som Discord. Dette trick gør det muligt at omgå sikkerhedsmekanismer i operativsystemer som Windows 11. Jagt på cookies frem for adgangskoder En markant tendens i rapporten er skiftet fra tyveri af adgangskoder til kapring af sessionscookies. Ved såkaldt “session cookie hijacking” overtager angriberen en aktiv session, hvor brugeren allerede er logget ind. Dermed omgås behovet for koder og eventuel multifaktorautentificering, hvilket giver direkte adgang til følsomme systemer. HP’s data viser, at såkaldt infostealer-malware …. (læs mere her)
Nyheder

Falske browser-opdateringer spreder russisk malware til europæiske firmaer

12. december 2025 Lars Bennetzen
Det kræver blot et enkelt klik på en tilsyneladende legitim browser-opdatering, før virksomhedens it-systemer er kompromitteret. Sådan lyder advarslen i en ny sikkerhedsanalyse fra it-sikkerhedsvirksomheden Arctic Wolf. Analysen blotlægger en ny tendens, hvor russisk-tilknyttede hackergrupper misbruger helt almindelige, men kompromitterede hjemmesider til at sprede avanceret malware. Angrebsmetoden benytter sig af den såkaldte SocGholish-malware. Teknikken går ud på at narre brugere, der forsøger at opretholde god it-hygiejne ved at holde deres software opdateret. Når brugeren besøger en kompromitteret hjemmeside, præsenteres de for en pop-up om, at deres browser skal opdateres. Klikker medarbejderen på opdateringen, aktiveres SocGholish-malwaren, hvilket giver angriberne adgang til systemet. Ifølge analysen forsøger bagmændene herefter at installere den russisk-støttede RomCom-gruppes avancerede ’Mythic Agent’-loader. Det er første gang, denne specifikke loader er observeret i forbindelse med SocGholish-angreb. Norden er i skudlinjen Selvom metoden umiddelbart ligner et bredt masseangreb, dækker den over en målrettet strategi. RomCom-gruppens malware aktiveres kun, hvis den genkender et specifikt mål. Det betyder, at angriberne kan skjule præcisionsangreb i store, globale kampagner. Analysen peger på, at europæiske og nordamerikanske virksomheder er de primære mål. Særligt udsat er organisationer, der direkte eller indirekte kan linkes til støtte af Ukraine. Rapporten fremhæver en hændelse hos et amerikansk ingeniørfirma, der havde samarbejdet med en by med tætte forbindelser til Ukraine. Dette gør truslen aktuel for nordiske virksomheder og offentlige instanser, hvor mange siden 2022 har leveret rådgivning og bistand til Ukraine. Angreb eskalerer på under 30 minutter En af de mest kritiske faktorer ved denne angrebsform er hastigheden. Rapporten dokumenterer, …. (læs mere her)
Feature

Ny cybertrussel sniger sig under radaren i danske virksomheder

12. august 2025 Lars Bennetzen
Danske virksomheder står over for en ny form for cybertrussel, der er svær at opdage med traditionelle overvågningsværktøjer. Det viser den seneste sikkerhedsrapport fra TDC Erhverv. Angrebsmetoden kaldes slow drip-angreb (low and slow attacks) og adskiller sig markant fra de velkendte DDoS-angreb. I stedet for at overbelaste et system med en massiv mængde trafik på kort tid, anvender slow drip-angreb en lav og præcist timet mængde trafik over en længere periode. Målet er gradvist at udmatte serverens ressourcer, som for eksempel hukommelse og processorkraft, og dermed forringe virksomhedens drift uden at udløse de alarmer, der typisk reagerer på store trafikmængder. Slow drip-angreb kræver ikke store botnets som traditionelle DDoS-angreb, og det gør det til en attraktiv angrebsmetode for mindre ressourcestærke aktører. Claus Westergaard Kraft, Direktør for Cybersikkerhed og Cloud hos TDC Erhverv. Han understreger, at selvom angrebene ikke forårsager en komplet nedlukning af services, kan de på længere sigt få store konsekvenser for virksomheders og offentlige tjenesters systemer. TDC Erhvervs rapport opfordrer derfor danske virksomheder til at gennemgå deres sikkerhedsarkitektur og sikre sig en beskyttelse, der også dækker applikationslaget og har en dybere trafikinspektion. Markant stigning i phishing og malware Ud over de nye angrebsformer viser rapporten også en markant stigning i andre cybertrusler. Antallet af forsøg på at tilgå ondsindede domæner, som TDC Erhverv har blokeret, er steget med over en halv million siden sidste kvartal. Særligt phishing er steget markant, fra 13,4% i første kvartal til 24,5% i andet kvartal af 2025. Ifølge Claus Westergaard Kraft kan stigningen …. (læs mere her)