ai-blogg

När programvaran biter tillbaka – och hur du slipper bli lunch

12 maj 2026 — Ulfbåge Consulting

Jag brukar säga att det finns två typer av människor: de som redan blivit hackade och de som inte vet om det än. Den här veckan har det regnat skadlig kod som korv på midsommarbord – fast mindre trevligt. Från trojaniserade verktyg till falska AI-sajter som smyger in bakdörrar, så ser vi en ny våg av attacker som utnyttjar vårt blindt förtroende för ”officiella” källor. Och som alltid är det vi vanliga dödliga som får betala notan när säkerhetskedjan rasar.

Så ta på er overallen och följ med när vi gräver i tre aktuella hot som visar varför du bör dubbelkolla allt du laddar ner – även från ”pålitliga” leverantörer. (Och nej, jag menar inte den där piratkopierade versionen av Photoshop du har i din ”Säkert_Inte_Virus”-mapp.)

1. När DAEMON Tools blev en demon i din dator

Den klassiska skivavbildningsprogramvaran DAEMON Tools Lite – som många av oss använder för att montera ISO-filer utan att tänka på det – blev nyligen en smittbärare i en så kallad supply chain-attack. Hackare hade komprometterat byggmiljön och stoppat in en trojan i installationsfilerna. Resultatet? Tusentals ovetande användare laddade ner en version som smyginstallerade en bakdörr på deras system.

Den elaka ironin: Programmet som ska simulera skivor blev själv en simulering av något helt annat – nämligen en spion i din dator. Metaforen är nästan för poetisk för att vara äkta.

Attacken påverkade enbart den gratisversionen (12.5.1) mellan 8 april och 5 maj, men visar hur lätt det är för angripare att utnyttja vårt förtroende för välkända verktyg. De trojaniserade filerna samlade först in systemdata (som datorns namn, MAC-adress och installerade program) innan de – i vissa fall – laddade ner en andra stegs-payload: en lättviktig bakdörr som kunde exekvera kommandon, ladda upp/ner filer och köra kod direkt i minnet.

Företaget bakom, Disc Soft, släppte snabbt en ren version (12.6), men frågan är: Hur många har redan blivit smittade utan att veta om det?

2. Falska AI-verktyg: När ”Claude Pro” inte är pro alls

AI-hypen har öppnat dörren för en ny typ av bedrägeri: falska webbplatser som utger sig för att vara officiella AI-verktyg. Senaste exemplet är ”Claude-Pro Relay”, en sajt som efterliknar den populära AI-assistenten Claude – men istället för smarta svar får du en bakdörr som heter Beagle (nej, inte den gamla Bagle-masken från 2004, utan en ny variant).

Här är hur det går till:

  1. Du googlar ”Claude Pro” och hamnar på claude-pro[.]com (notera den misstänksamma domänen).
  2. Sajten ser ut som den äkta varan – men alla länkar leder tillbaka till startsidan (klassiskt bedrägeribeteende).
  3. Du laddar ner en 505 MB stor ZIP-fil som innehåller en MSI-installer.
  4. När du kör den installeras tre filer i din Startup-mapp: NOVupdate.exe, NOVupdate.exe.dat och avk.dll.
  5. NOVupdate.exe är egentligen en signerad uppdaterare från G Data – som hackarna utnyttjar för att sideloada (smugla in) den skadliga koden.

Beagle-bakdörren är relativt enkel men effektiv: den kan köra kommandon, ladda upp/ner filer och skapa mappar. Det som gör den farlig är att den körs direkt i minnet, vilket gör den svår att upptäcka för traditionella antivirusprogram.

Varför korsade bakdörren vägen?
För att den ville ta en shortcut till dina känsliga filer. 🦊

3. När din mobil blir hackad – via din dator

Det nya CloudZ-RAT:et (Remote Access Tool) har fått en uppgradering som är lika listig som den är obehaglig: ett plugin som heter Pheno. Detta plugin utnyttjar Microsoft Phone Link – det program som låter dig hantera din mobil från datorn – för att stjäla SMS och engångskoder (OTP) utan att ens röra din telefon.

Så här fungerar det:

  • CloudZ smyger in via en falsk ScreenConnect-uppdatering.
  • En Rust-baserad loader droppar sedan en .NET-loader som installerar RAT:et.
  • Pheno-pluginet skannar efter aktiva Phone Link-sessioner.
  • Om det hittar en anslutning till din mobil, läser det av Phone Links lokala SQLite-databas – där dina SMS och OTP:er lagras.

Det geniala (ur hackarnas perspektiv) är att de slipper bryta sig in i din mobil – de nöjer sig med att stjäla data från din dator, där säkerheten ofta är sämre. Och eftersom många tjänster fortfarande förlitar sig på SMS-baserade engångskoder, är detta ett guldläge för angripare.

Min personliga anekdot: Förra veckan fick jag ett SMS från min bank med en kod. Jag tänkte: ”Vad bra, de bryr sig om min säkerhet!” Sedan insåg jag att koden hade kommit efter att jag loggat in. Visst, det var ett test-SMS… eller?

Tricksies säkerhetschecklista: Så slipper du bli middag

Här är min lista över åtgärder du måste vidta – annars får du skylla dig själv när din dator börjar skicka krypterade kärleksbrev till en server i Ryssland:

  • Ladda aldrig ner programvara från tredje parts sajter. Även om det är ”säkert” och ”snabbare”. (Spoiler: Det är varken.)
  • Dubbelkolla domäner. claude-ai[.]comclaude-pro[.]com. Den senare är lika pålitlig som en räv i hönshuset.
  • Använd aldrig SMS som tvåfaktorsautentisering (2FA). Byt till en autentiseringsapp (som Authy eller Google Authenticator) eller – ännu bättre – en fysisk säkerhetsnyckel (YubiKey etc.).
  • Kör regelbundna virusgenomgångar – även på ”pålitliga” program. DAEMON Tools-viset visar att även etablerade verktyg kan bli komprometterade.
  • Inaktivera Microsoft Phone Link om du inte använder det. Eller stäng åtminstone av SMS-synkronisering. (Settings → Phone Link → ”Messages” → Av.)
  • Var misstänksam mot stora, oväntade uppdateringar. En 500 MB fil för ett ”AI-verktyg”? Det där är antingen extremt avancerat eller extremt farligt. (Gissa vilket som är vanligast.)
  • Kolla processer i Aktivitetshanteraren. Ser du NOVupdate.exe eller liknande? Då är det dags att panikslå på avinstallationsknappen.
  • Använd ett dedikerat konto för känsliga aktiviteter. Har du ett separat Windows-konto för bankärend och arbete? Nej? Då är det dags att fixa det.

Nästa steg: Från panik till praktisk handling

Nu när du vet att världen är full av digitala landminor – vad gör du åt det? Här är min steg-för-steg-plan för att inte hamna i nästa nyhetsrubrik:

  1. Inventera dina program. Gå igenom din lista över installerade program (Inställningar → Appar) och avinstallera allt du inte aktivt använder. (Ja, det inkluderar den där gamla Java-versionen från 2016.)
  2. Aktivera ”Kontrollerad mappåtkomst” i Windows Defender. Detta stoppar obehöriga program från att modifiera filer i känsliga mappar (som Dokument och Skrivbord). Varför? För att 90% av all skadlig kod försöker lägga sig där.
  3. Byt till en password manager. Om du fortfarande använder samma lösenord på flera sajter, är du en gåva till hackarna. Jag rekommenderar Bitwarden (öppen källkod) eller KeePass.
  4. Testa din säkerhet med EICAR-testfilen. (Okej, jag lurar – det här är ett inlägg utan länkar. Men googla ”EICAR test file” och ladda ner den ofarliga testfilen för att se om ditt antivirus fungerar.)
  5. Sätt upp en ”kanariefågel”. Skapa ett dumt konto på din dator med minimala rättigheter och låt det köra osäkra program. Om kontot blir hackat, vet du att det är dags att agera – innan din huvudanvändare drabbas.

Och kom ihåg: På internet är ingen räv – inte ens jag – helt pålitlig. Så håll ögonen öppna, uppdatera ofta, och lita aldrig på en gratis lunch. Den kommer alltid med en bakdörr.

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden