Realtid
Realtid.se
IT & tech

Ryska hackare riktar in sig på västliga bolag som stöttar Ukraina

Petter Glenstrup, Nordenchef på Arctic Wolf, presenterar en analys. (Foto: Canva och Arctic wolf)
Petter Glenstrup, Nordenchef på Arctic Wolf, presenterar en analys. (Foto: Canva och Arctic wolf)
Åsa Wallenrud
Åsa Wallenrud
Uppdaterad: 10 dec. 2025Publicerad: 10 dec. 2025

Ryska hackare använder falska webbläsaruppdateringar för att rikta attacker mot västliga företag som stödjer Ukraina.

ANNONS
ANNONS
Facebook
Twitter
LinkedIn

Mest läst i kategorin

Det ser ut som det brukar: en ruta som ber dig uppdatera webbläsaren. En vardaglig påminnelse som ofta klickas bort eller godkänns i farten.

Men just nu används samma rutinmässiga beteende som språngbräda av hackare med kopplingar till Ryssland, enligt en ny analys från Arctic Wolf.

Metoden bygger på att placera skadlig kod på vanliga webbsidor. Besökaren luras att tro att en uppdatering krävs och – med gott uppsåt – öppnar dörren för ett angrepp. En sorts digital version av att låsa dörren, men glömma källarfönstret på glänt.

Gamla knep, nytt fokus

SocGholish, attackmetoden i centrum, har funnits länge. Den fungerar som en riggad kuliss där infekterade sajter visar falska uppdateringsrutor.

Nytt i sammanhanget är att angriparna denna gång kan kopplas till den ryska militära underrättelsetjänsten GRU, och att deras mål tydligt hänger ihop med västliga organisationers stöd till Ukraina.

”Att använda falska uppdateringar är ingen nyhet. Det oväntade är vilka som står bakom och vilka de riktar sig mot”, säger Petter Glenstrup, Nordenchef på Arctic Wolf.

Varning: Undvik AI-webbläsare till varje pris

Gartner varnar för att AI-baserade webbläsare kan skapa betydande säkerhetsrisker och bör stoppas tills vidare.
ANNONS
ANNONS

Senaste nytt

Spela klippet
Realtid Partner

Efter svaga kvartalet: "Oktober har varit en fantastisk månad"

13 nov. 2025
Kristina Sparreljung, Generalsekreterare, Hjärt-Lungfonden
Spela klippet
Realtid Partner

Så kan dina aktier rädda liv – Hjärt-Lungfonden lyfter fram möjligheten till aktiegåvor

01 okt. 2025

En knapptryckning som öppnade fel dörr

I den incident som ligger till grund för analysen klickade en anställd på just en sådan falsk uppdatering. Fönstret såg helt normalt ut, men i samma stund startade en kedja av kommandon som gav angriparna tillgång till företagets system.

Kort därefter försökte de installera kod från den ryskstödda gruppen RomCom – något som inte tidigare setts i kombination med SocGholish.

RomComs verktyg är skapade för att aktiveras först när de känner igen rätt mål, lite som en digital passkontroll. Det innebär att en global kampanj kan dölja en mycket specifik attack, något som gör upptäckten snårigare för försvararna.

Maktspelet bakom Netflix köp av Warner Bros

Netflix köp av Warner Bros ritar om kartan för den globala mediebranschen – och affären tycks ha haft oväntade politiska inslag.

Västliga företag hamnar i blickfånget

Företaget som drabbades hade tidigare arbetat med en amerikansk stad med nära band till Ukraina. Det räckte för att hamna i skottlinjen. Detta mönster återkommer, enligt Arctic Wolf: aktörer knutna till Ryssland riktar sig regelbundet mot organisationer som på någon nivå stödjer Ukraina, direkt eller indirekt.

Glenstrup menar att det återspeglar hur cyberbrottslighet och statliga intressen idag flätas samman:

ANNONS

”Samma verktyg används för både ekonomiskt motiverade brott och statligt drivna angrepp. Det gör hotbilden svårare att förutse”.

En liten varning som kan bli ett stort problem

SocGholish dyker ofta upp i samband med utpressningsattacker. Gruppen bakom metoden fungerar en smula som en digital mäklare: de säljer åtkomst vidare till andra aktörer. Det som börjar som en trivial incident bör därför betraktas som ett tidigt tecken på något betydligt större.

Enligt Glenstrup gäller det att agera snabbt:

”Den som upptäcker SocGholish bör tänka sig att man redan står i början av en ransomware-attack. Tidiga åtgärder är avgörande”.

Faktaruta: Så skyddar ni er

Undvik spontana uppdateringar
Installationer ska ske centralt och från godkända källor, aldrig via webbläsarrutor.

Övervaka misstänkta klientaktiviteter
Avvikande nättrafik och skriptkörning kan signalera intrång.

Använd modern slutpunktssäkerhet
Upptäcker försök att installera dold skadlig kod.

Inför tydliga rutiner för uppdateringsmeddelanden
Gemensamma riktlinjer minskar risken för felbeslut.

Utbilda användarna löpande
Kunskap om manipulerade webbplatser och falska uppdateringar är ett av de mest effektiva skydden.

Europol avslöjar våldsmodell med svensk koppling

Europol varnar för en ny våldsstruktur som sprider sig i Europa – och pekar på Sverige som platsen där rekryteringen tog fart.

Missa inte:

ANNONS

Varning: Byt PIN-kod om den finns med på den här listan. News 55

Manipulerade bankappar luras ut via falska myndighetssidor. Realtid

Svenska kronan fortfarande bäst. E55

Läs mer från Realtid - vårt nyhetsbrev är kostnadsfritt:
CyberangreppRysslandUkraina
Åsa Wallenrud
Åsa Wallenrud

Åsa Wallenrud är en driven och erfaren motorjournalist med en stark passion för bilvärlden och teknik, gärna i kombination. Arbetat med varumärken som TV4 Nyhetsmorgon, Facit, M3, Lilla Gumman, Hem och Villamässor, Blocket, Byt Bil mfl. Har du en bra historia? Maila mig [email protected]

Åsa Wallenrud
Åsa Wallenrud

Åsa Wallenrud är en driven och erfaren motorjournalist med en stark passion för bilvärlden och teknik, gärna i kombination. Arbetat med varumärken som TV4 Nyhetsmorgon, Facit, M3, Lilla Gumman, Hem och Villamässor, Blocket, Byt Bil mfl. Har du en bra historia? Maila mig [email protected]

Senaste lediga jobben

Compliance & Data Protection Officer till Alfa Mobility
Sista ansökningsdag: 09/01/2026
Head of Compliance to Brite Payments
Sista ansökningsdag: 09/01/2026
ANNONS
ANNONS
ANNONS
ANNONS