Malwareanalys i praktiken är en bloggserie inom området cybersäkerhet där Karl‑Bernhard Nordén, säkerhetsanalytiker på Axians, delar med sig av praktiska exempel på hur moderna malware‑hot analyseras och förstås. Genom tekniska labbar granskas verkliga malware‑exempel med hjälp av statisk och dynamisk analys – med fokus på hur tekniska detaljer hänger ihop med verkliga cyberattacker, risker och konsekvenser.
Karl-Bernhard Nordén
Säkerhetsanalytiker på Axians
Infostealers är idag ett av de mest utbredda malware‑hoten mot både privatpersoner och organisationer. Under de senaste åren har deras spridning inom det cyberkriminella ekosystemet ökat kraftigt, samtidigt som många användare fortfarande har ett begränsat säkerhetsfokus. Parallellt har infostealers blivit mer sofistikerade och svårupptäckta. Efterfrågan på stulna data är hög, och i takt med att våra liv blir allt mer digitala ökar också vår sårbarhet när data exponeras eller komprometteras.
Kontosäkerhet handlar inte längre bara om lösenord
Tidigare innebar ett läckt eller gissat lösenord ofta fullständig kompromettering av ett konto. Många användare prioriterade bekvämlighet och återanvände samma, ofta förutsägbara lösenord på flera plattformar. Som ett resultat blev lösenord otillräckliga. Tekniker som phishing, credential dumping och hash cracking drev fram behovet av starkare autentiseringsmetoder, framför allt multi‑factor authentication (MFA).
Hoten har dock utvecklats i takt med dessa skydd. Moderna infostealers riktar sig därför inte bara mot credentials, utan även mot session data såsom cookies och authentication tokens. För att möta detta har plattformar infört mer avancerade skydd, exempelvis device fingerprinting och behavioral analysis.
Modern kontosäkerhet vs moderna infostealers
Kontoskydd idag är starkare än någonsin. Samtidigt har moderna infostealers utvecklats med kännedom om dessa skydd och blivit allt svårare att upptäcka. Kombinationen av fingerprinting, säkert lagrade session tokens och behavioral tracking skapar ett robust skyddslager – men är också explicita mål för moderna malware. Baserat på analyser av dagens infostealers samlar dessa hot in stora mängder system‑ och webbläsardata, inklusive hårdvarudetaljer, installerad mjukvara, webbläsarkonfigurationer och publik IP‑information. Detta möjliggör att angripare kan återskapa en betrodd miljö som mycket nära efterliknar offrets system.
Session cookies och tokens är särskilt värdefulla eftersom de representerar en redan autentiserad session. Att stjäla en session cookie är som att kliva in genom en redan öppen ytterdörr – angriparen behandlas som den legitima användaren utan att några larm triggas. I praktiken blir angriparen användaren och opererar inom offrets betrodda digitala identitet.
Varför är infostealers svåra att upptäcka och varför räcker inte alltid traditionellt antivirus?
De mest sofistikerade hoten idag blir i praktiken ”du”. Infostealers använder ofta living off the land-tekniker där legitima, signerade verktyg från exempelvis Microsoft utnyttjas, vilket försvårar detektionen avsevärt.
För att ytterligare undvika upptäckt obfuskeras och/eller krypteras koden. Det gör att man ofta behöver dekompilera binärer eller använda debugger‑verktyg för att förstå vad koden faktiskt gör. Malware använder också defense evasion‑tekniker för att analysera sin körmiljö och identifiera sandboxes. Infekteringen sker dessutom ofta i flera steg, där en stager först installeras och därefter laddar ner den faktiska payloaden. Verktyg som PowerShell, CMD och andra inbyggda Windows‑verktyg används frekvent i dessa sammanhang.
Vad riktar sig infostealers mot?
Kort svar: allt. I grunden innebär stulen data pengar. Det finns en omfattande marknad för komprometterad information i dagens cyberkriminella ekosystem. När data väl samlats in säljs eller byts den vidare och används för bedrägerier, account takeovers eller som initial access till större, mer avancerade attacker.
En central drivkraft bakom utvecklingen är Malware‑as‑a‑Service (MaaS), där även mindre erfarna threat actors kan köpa eller leasa färdiga malware builder kits. Detta har sänkt trösklarna och lett till en kraftig ökning av attacker. Samtidigt utvecklas infostealers mot allt mer ”one‑size‑fits‑all”-lösningar, designade för att samla in så mycket värdefull data som möjligt från infekterade system.
Nästa del i bloggserien
I del 2 fördjupar vi oss i den statiska analysen, där vi bryter ner binären, granskar imports och följer kontrollflödet för att förstå hur malware samlar in och exfiltrerar känslig data.
Har du frågor kring inlägget?
Hör av dig till Karl‑Bernhard: karl-bernhard.norden@axians.com
Karl‑Bernhard Nordén är säkerhetsanalytiker (SOC) på Axians i Sverige, med inriktning på threat detection, incidentutredning och malwareanalys. I sitt dagliga arbete analyserar han misstänkt aktivitet, utreder säkerhetslarm och genomför tekniska analyser i sandbox‑miljöer för att förstå hur skadlig kod beter sig i praktiken.
Utöver sitt arbete på Axians publicerar Karl‑Bernhard även djupgående malwareanalyser där han dokumenterar angreppssätt, teknisk funktionalitet och metoder som används av moderna hotaktörer.
