Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 9 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.09

Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer. Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS. Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep.


Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer

Microsoft Threat Intelligence har oppdaget en ny variant av ClickFix svindelen der angripere manipulerer Windows brukere til å starte Windows Terminal via hurtigtasten Windows + X → I og deretter lime inn en kommando som egentlig installerer malware. Kampanjen ble observert i februar 2026 og er en videreutvikling av tidligere ClickFix angrep som vanligvis brukte Win + R og Run dialogen. Ved å bruke Windows Terminal, som er et legitimt administrasjonsverktøy, prøver angriperne å unngå sikkerhetsdeteksjon siden aktiviteten ser mer normal ut i systemlogger. Kommandoen som ofrene limer inn er en sterkt kodet PowerShell kommando som starter en kompleks infeksjonskjede. I ett scenario lastes en omdøpt versjon av 7-Zip ned sammen med et komprimert malware payload som deretter etablerer persistens, legger til unntak i Microsoft Defender og samler system og nettleserdata. Til slutt installeres Lumma Stealer, en infostealer skadevare som injiserer seg i Chrome og Edge for å stjele lagrede passord og andre nettleserdata.

Anbefalinger: Brukere bør aldri kopiere og kjøre kommandoer fra nettsteder i Windows Terminal, PowerShell eller Run dialogen uten å forstå hva kommandoen gjør.

Organisasjoner bør implementere overvåking av PowerShell og terminalaktivitet, blokkere mistenkelige skript og styrke brukeropplæring rundt sosial manipulering (Social Engineering) og falske verifiseringssider.

Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS

Sikkerhetsforskere fra Malwarebytes har oppdaget en ny kampanje der angripere har opprettet en falsk nettside som utgir seg for å være CleanMyMac, et populært macOS optimaliseringsverktøy. Brukere som besøker siden blir lokket til å laste ned en tilsynelatende legitim installasjonsfil, men installasjonen inneholder i stedet malware. Når filen kjøres installeres Shub Stealer, en infostealer som kan hente sensitiv informasjon fra systemet, inkludert nettleserdata og lagrede legitimasjonsopplysninger. Skadevare pakken inneholder også en bakdør som spesifikt retter seg mot kryptovaluta wallets, hvor angriperne forsøker å stjele eller omdirigere kryptotransaksjoner ved å manipulere wallet relaterte data og prosesser. Kampanjen utnytter at CleanMyMac er et velkjent verktøy blant macOS brukere, noe som gjør det lettere å lure ofre til å installere programvaren uten å mistenke noe.

Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep

Sikkerhetsforskere fra Push Security har avdekket en ny sosial manipuleringsteknikk kalt InstallFix. Dette er en videreutvikling av ClickFix angrep, hvor angripere lager falske installasjonsguider for populære CLI verktøy. I kampanjen kopierer angripere installasjonssiden til Claude Code, et CLI-verktøy fra Anthropic, og distribuerer siden via sponsede Google annonser som dukker opp når brukere søker etter installasjon av verktøyet. Den falske siden er nesten identisk med den legitime og inneholder legitime lenker til den offisielle siden, men installasjonskommandoene er manipulert slik at de laster ned og kjører skadevare fra malisiøse servere.

Når brukere kopierer og kjører installasjonskommandoene i terminal eller kommandolinje, starter kommandoene blant annet Windows verktøyet mshta.exe for å hente en fjern HTA payload som installerer infostealeren Amatera. Denne skadevaren kan stjele passord, nettlesercookies, sesjonstokener og systeminformasjon. Kampanjen er vanskelig å oppdage fordi falske sider hostes på legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne.

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.09

Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer. Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS. Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep.


Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer

Microsoft Threat Intelligence har oppdaget en ny variant av ClickFix svindelen der angripere manipulerer Windows brukere til å starte Windows Terminal via hurtigtasten Windows + X → I og deretter lime inn en kommando som egentlig installerer malware. Kampanjen ble observert i februar 2026 og er en videreutvikling av tidligere ClickFix angrep som vanligvis brukte Win + R og Run dialogen. Ved å bruke Windows Terminal, som er et legitimt administrasjonsverktøy, prøver angriperne å unngå sikkerhetsdeteksjon siden aktiviteten ser mer normal ut i systemlogger. Kommandoen som ofrene limer inn er en sterkt kodet PowerShell kommando som starter en kompleks infeksjonskjede. I ett scenario lastes en omdøpt versjon av 7-Zip ned sammen med et komprimert malware payload som deretter etablerer persistens, legger til unntak i Microsoft Defender og samler system og nettleserdata. Til slutt installeres Lumma Stealer, en infostealer skadevare som injiserer seg i Chrome og Edge for å stjele lagrede passord og andre nettleserdata.

Anbefalinger: Brukere bør aldri kopiere og kjøre kommandoer fra nettsteder i Windows Terminal, PowerShell eller Run dialogen uten å forstå hva kommandoen gjør.

Organisasjoner bør implementere overvåking av PowerShell og terminalaktivitet, blokkere mistenkelige skript og styrke brukeropplæring rundt sosial manipulering (Social Engineering) og falske verifiseringssider.

Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS

Sikkerhetsforskere fra Malwarebytes har oppdaget en ny kampanje der angripere har opprettet en falsk nettside som utgir seg for å være CleanMyMac, et populært macOS optimaliseringsverktøy. Brukere som besøker siden blir lokket til å laste ned en tilsynelatende legitim installasjonsfil, men installasjonen inneholder i stedet malware. Når filen kjøres installeres Shub Stealer, en infostealer som kan hente sensitiv informasjon fra systemet, inkludert nettleserdata og lagrede legitimasjonsopplysninger. Skadevare pakken inneholder også en bakdør som spesifikt retter seg mot kryptovaluta wallets, hvor angriperne forsøker å stjele eller omdirigere kryptotransaksjoner ved å manipulere wallet relaterte data og prosesser. Kampanjen utnytter at CleanMyMac er et velkjent verktøy blant macOS brukere, noe som gjør det lettere å lure ofre til å installere programvaren uten å mistenke noe.

Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep

Sikkerhetsforskere fra Push Security har avdekket en ny sosial manipuleringsteknikk kalt InstallFix. Dette er en videreutvikling av ClickFix angrep, hvor angripere lager falske installasjonsguider for populære CLI verktøy. I kampanjen kopierer angripere installasjonssiden til Claude Code, et CLI-verktøy fra Anthropic, og distribuerer siden via sponsede Google annonser som dukker opp når brukere søker etter installasjon av verktøyet. Den falske siden er nesten identisk med den legitime og inneholder legitime lenker til den offisielle siden, men installasjonskommandoene er manipulert slik at de laster ned og kjører skadevare fra malisiøse servere.

Når brukere kopierer og kjører installasjonskommandoene i terminal eller kommandolinje, starter kommandoene blant annet Windows verktøyet mshta.exe for å hente en fjern HTA payload som installerer infostealeren Amatera. Denne skadevaren kan stjele passord, nettlesercookies, sesjonstokener og systeminformasjon. Kampanjen er vanskelig å oppdage fordi falske sider hostes på legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne.

Friday, 6 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.06

Cisco Bekrefter Aktiv Utnyttelse av Sårbarheter i Catalyst SD-WAN Manager. Ny MongoDB sårbarhet lar hackere krasje hvilken som helst MongoDB server.


Cisco Bekrefter Aktiv Utnyttelse av Sårbarheter i Catalyst SD-WAN Manager

Cisco har bekreftet at to sårbarheter i Cisco Catalyst SD-WAN Manager (tidligere vManage) nå blir aktivt utnyttet i angrep i det fri. Sårbarhetene er CVE-2026-20122 (CVSS 7.1), en "arbitrary file overwrite" feil som kan gjøre det mulig for en autentisert fjernangriper med "read-only" API tilgang å overskrive vilkårlige filer på systemet, og CVE-2026-20128 (CVSS 5.5), en "information disclosure" sårbarhet som kan gi en autentisert lokal bruker økte privilegier til "Data Collection Agent" kontoen. Cisco opplyser at begge disse sårbarhetene nå utnyttes aktivt, men har ikke gitt detaljer om hvem som står bak eller omfanget av angrepene. Oppdateringer som fikser disse problemene ble publisert tidligere, blant annet i versjoner som 20.9.8.2, 20.12.6.1, 20.15.4.2 og 20.18.2.1 avhengig av hvilken versjon som brukes. Sårbarhetene ble offentliggjort kort tid etter en annen kritisk SD-WAN sårbarhet (CVE-2026-20127, CVSS 10.0) som også nylig ble bekreftet utnyttet i avanserte angrep mot organisasjoner.

Anbefaling:

Oppgrader til en patched versjon av Cisco Catalyst SD-WAN Manager umiddelbart. Begrens tilgang til systemet fra usikre nettverk og plasser administrasjonsgrensesnitt bak brannmur. Deaktiver HTTP tilgang til administrasjonsportalen dersom det er mulig og slå av tjenester som HTTP og FTP dersom de ikke er nødvendige.

Ny MongoDB sårbarhet lar hackere krasje hvilken som helst MongoDB server

En nylig oppdaget sårbarhet i MongoDB kan gjøre det mulig for angripere å krasje databaservere ved å sende spesiallagde forespørsler som utnytter feil i håndteringen av bestemte databaseoperasjoner. Sårbarheten kan føre til "Denial of Service (DoS)" ved at databasen stopper eller blir utilgjengelig, noe som kan påvirke applikasjoner og tjenester som er avhengige av databasen. Problemet skyldes feil håndtering av visse operasjoner som kan føre til ustabilitet i serverprosessen når ondsinnede eller uvanlige input behandles. MongoDB har publisert sikkerhetsoppdateringer for flere versjoner av databasen for å rette problemet og anbefaler at brukere oppgraderer til en patchet versjon så raskt som mulig for å redusere risikoen for utnyttelse.

Anbefaling:

Oppgrader MongoDB til en versjon som inneholder sikkerhetsoppdateringen så snart som mulig. Begrens tilgang til databasen fra eksterne nettverk, bruk autentisering og nettverksfiltrering for å hindre uautoriserte forespørsler, og overvåk database logger for uvanlig aktivitet eller uventede krasjer som kan indikere forsøk på utnyttelse.

Sårbarheter:

Thursday, 5 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.05

Cisco advarer om kritiske sikkerhetshull som kan gi root tilgang.


Cisco advarer om kritiske sikkerhetshull som kan gi root tilgang

Cisco har advart om to kritiske sikkerhetssårbarheter i programvaren Secure Firewall Management Center (FMC), som brukes til å administrere brannmurer og andre sikkerhetsfunksjoner. Sårbarhetene har fått høyeste alvorlighetsgrad og kan utnyttes av angripere uten innlogging for å få root tilgang til systemet.

En av feilene gjør det mulig å omgå autentisering ved å sende HTTP forespørsler til et sårbart system, noe som kan gi full kontroll over enheten. Den andre sårbarheten gjør det mulig å kjøre Java kode som også kan gi administratorrettigheter.

Cisco har publisert sikkerhetsoppdateringer som retter problemene og oppfordrer organisasjoner til å oppdatere systemene sine så raskt som mulig. Ifølge selskapet finnes det foreløpig ingen bevis for at sårbarhetene blir aktivt utnyttet i angrep.

Wednesday, 4 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.04

Android Zero‑Day aktivt utnyttet (CVE‑2025‑0845). Falsk IT-Support‑kampanje leverer skadevare etter utsendelse av spam.


Android Zero‑Day aktivt utnyttet (CVE‑2025‑0845)

Google har sluppet en sikkerhetsoppdatering som tetter en aktivt utnyttet Android nulldagssårbarhet som gjør det mulig for angripere å kjøre kode og omgå sentrale sikkerhetsmekanismer på berørte enheter. Feilen ligger i Android‑komponenter som håndterer minne, og åpner for angrep som kan gi full kontroll dersom brukeren lures til å installere ondsinnet programvare.

Google bekrefter at sårbarheten allerede brukes i reelle angrep, men detaljer holdes begrenset for å hindre videre misbruk. Oppdateringen rulles ut via månedlige Android‑patcher, og produsenter må distribuere den videre til sine enheter.

Anbefaling:

For organisasjoner anbefales bruk av et MDM verktøy for å kontrollere og holde enheter løpende patchet på et tilfredstillende nivå.

Sårbarheter:

Falsk IT-Support‑kampanje leverer skadevare etter utsendelse av spam

Kampanjen starter med at offeret mottar et stort antall spam e-poster. Hvoretter angriper i etterkant tar kontakt og utgir seg for å tilhøre IT-Support for hjelp til å løse problemet.

Her blir offer lurt til å installere blant annet fjernstyringsverktøy, og etterhvert tatt inn på falske login sider for blant annet Microsoft tjenester.

Click-fix kampanjer som dette har hatt økende antall forekomster, og blir stadig mer utspekulerte og troverdige. Slike typer angrep viser viktigheten av intern opplæring innen "security awareness".

Tuesday, 3 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.03

Microsoft tester sikkerhetsforbedringer for batchfiler i Windows 11. Kritisk ClawJacked-sårbarhet gjorde det mulig å kapre OpenClaw via nettleser.


Microsoft tester sikkerhetsforbedringer for batchfiler i Windows 11

Microsoft tester nye sikkerhetsforbedringer i Windows 11 som skal redusere risikoen ved kjøring av batchfiler med filtypen .bat. Endringene innebærer at batchfiler lastet ned fra internett og merket med Mark of the Web i større grad vil bli blokkert eller utløse tydeligere sikkerhetsadvarsler gjennom SmartScreen. Målet er å forhindre misbruk av batchfiler i phishing og malwarekampanjer, der angripere forsøker å omgå eksisterende beskyttelsesmekanismer. Forbedringene testes nå i Insider versjoner av Windows 11, spesielt knyttet til 24H2 oppdateringen, og kan bli rullet ut bredere dersom testingen er vellykket.

Kritisk ClawJacked-sårbarhet gjorde det mulig å kapre OpenClaw via nettleser

Sikkerhetsforskere fra Oasis Security har avdekket en alvorlig sårbarhet kalt “ClawJacked” i den populære AI-agentplattformen OpenClaw. Feilen gjorde det mulig for en ondsinnet nettside å brute-force passordet til en lokalt kjørende OpenClaw-instans via WebSocket – uten at brukeren fikk noen advarsel.

Sårbarheten skyldtes at localhost-tilkoblinger var unntatt fra rate limiting, noe som gjorde det mulig å teste hundrevis av passord per sekund. Hvis passordet ble gjettet, fikk angriperen administratortilgang til OpenClaw, noe som kunne føre til full kompromittering av maskinen.

Problemet ble rettet i versjon 2026.2.26, og brukere oppfordres til å oppdatere umiddelbart.

Monday, 2 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.02

Microsoft tester sikkerhetsforbedringer for batchfiler i Windows 11. Kritisk ClawJacked-sårbarhet gjorde det mulig å kapre OpenClaw via nettleser.


Microsoft tester sikkerhetsforbedringer for batchfiler i Windows 11

Microsoft tester nye sikkerhetsforbedringer i Windows 11 som skal redusere risikoen ved kjøring av batchfiler med filtypen .bat. Endringene innebærer at batchfiler lastet ned fra internett og merket med Mark of the Web i større grad vil bli blokkert eller utløse tydeligere sikkerhetsadvarsler gjennom SmartScreen. Målet er å forhindre misbruk av batchfiler i phishing og malwarekampanjer, der angripere forsøker å omgå eksisterende beskyttelsesmekanismer. Forbedringene testes nå i Insider versjoner av Windows 11, spesielt knyttet til 24H2 oppdateringen, og kan bli rullet ut bredere dersom testingen er vellykket.

Kritisk ClawJacked-sårbarhet gjorde det mulig å kapre OpenClaw via nettleser

Sikkerhetsforskere fra Oasis Security har avdekket en alvorlig sårbarhet kalt “ClawJacked” i den populære AI-agentplattformen OpenClaw. Feilen gjorde det mulig for en ondsinnet nettside å brute-force passordet til en lokalt kjørende OpenClaw-instans via WebSocket – uten at brukeren fikk noen advarsel.

Sårbarheten skyldtes at localhost-tilkoblinger var unntatt fra rate limiting, noe som gjorde det mulig å teste hundrevis av passord per sekund. Hvis passordet ble gjettet, fikk angriperen administratortilgang til OpenClaw, noe som kunne føre til full kompromittering av maskinen.

Problemet ble rettet i versjon 2026.2.26, og brukere oppfordres til å oppdatere umiddelbart.

 
>