Vad är CypherLoc?
CypherLoc är ett nytt verktyg som kriminella använder för att lura människor att tro att deras dator eller webbläsare har drabbats av ett allvarligt fel. Istället för att installera ett traditionellt virus eller trojan, använder angriparna själva webbläsaren som scen för ett skrämselspel som kallas scareware. När offeret öppnar en skadlig länk visas först en helt vanlig webbsida, men bakom ytan finns dold kod som väntar på rätt tillfälle att slå till. Eftersom verktyget inte lämnar många spår i systemet kan det vara svårt för vanliga antivirusprogram att upptäcka det innan skadan är skedd. Enligt Barracuda har ungefär 2,8 miljoner sådana attacker observerats sedan årsskiftet 2026, vilket visar hur snabbt metoden har spridit sig bland cyberbrottslingar som söker enkla och effektiva sätt att tjäna pengar.
Hur attacken börjar
Det första steget i en CypherLoc‑attack är oftast ett nätfiskemejl. Mejlet kan se ut som ett vanligt erbjudande, en faktura eller en inbjudan till ett evenemang, och innehåller en länk antingen direkt i brödtexten eller i en bilaga. När mottagaren klickar på länken öppnas en webbsida som vid första anblicken ser helt legitim ut – kanske en nyhetsartikel, en shoppingsida eller ett forum. Detta första intryck är avgörande eftersom det får användaren att sänka garden och tro att det inte finns någon fara. Den skadliga koden är dold i sidans JavaScript eller i ett osynligt iframe, och den aktiveras inte förrän vissa villkor är uppfyllda. På så sätt kan attacken passera igenom många säkerhetskontroller som letar efter kända skadliga filer eller misstänkt beteende vid sidladdning.
Den dolda koden och fördröjd aktivering
CypherLoc använder en teknik som kallas för villkorlig aktivering. Koden kontrollerar exempelvis om en viss nyckel finns i sidans metadata, om användaren kör en säkerhetsskanner eller om webbläsaren befinner sig i en isolerad testmiljö (så kallad sandbox). Om någon av dessa kontroller visar att miljön inte är “ren” förblir koden inaktiv och sidan beter sig normalt. Först när alla villkor är uppfyllda – till exempel när användaren använder en vanlig hemmabrowser utan skyddsverktyg och när en specifik kodnyckel finns – startar den skadliga sekvensen. Denna fördröjning gör det svårt för säkerhetsforskare att reproducera attacken i en labbmiljö, eftersom de ofta kör sina tester i just sandboxar som verktyget är utformat för att undvika. Dessutom lämnar den inaktiva koden väldigt få spår på disken eller i minnet, vilket ytterligare försvårar upptäckt av traditionella antiviruslösningar.
Webbläsaren låses – skrämsel på skärmen
När attacken väl startar tar angriparna full kontroll över webbläsarfönstret. Sidan växlar till ett helskärmsläge där alla vanliga webbläsarkontroller – adressfält, flikar, bakåt‑ och framåtknappar – inaktiveras eller döljs. Användaren möts av ett stort, rött varningsfönster som påstår att datorn är infekterad med ett farligt virus, att personliga uppgifter läcker eller att systemet är på väg att krascha. Samtidigt spelas höga alarmtoner upp, och skärmen fylls med blinkande texter som “AKUT ÅTGÄRD KRÄVS” eller “DATORN ÄR LÅST”. För att förhindra att användaren bara stänger fliken eller webbläsaren använder angriparna flera knep: markören kan gömmas, menyerna slutar svara, och om någon försöker stänga sidan kan den låsa sig på nytt eller visa ett meddelande som säger att åtgärden inte är tillåten. Allt detta skapar en känsla av att det inte finns någon utväg annat än att följa instruktionerna på skärmen.
Psykologisk press och falska supportnummer
Under hela förloppet visas ett telefonnummer som presenteras som den enda lösningen på problemet. Numret är ofta ett vanligt riktnummer som låtsas vara från ett välkänt teknikföretag eller en internetleverantör. När offeret ringer kopplas de till en bedragare som utger sig för att vara teknisk support. Bedragaren använder sig av social manipulation: de låter lugna och professionella, bekräftar användarens rädsla och erbjuder att “fixa” problemet mot betalning – ofta via presentkort, kryptovaluta eller direktöverföring. För att öka pressen kan de även visa användarens IP‑adress på skärmen, spela upp falska felmeddelanden om att någon annan försöker komma åt kontot, eller visa en låtsas inloggningsruta som inte fungerar oavsett vad man skriver in. Kombinationen av teknisk låsning och psykologisk press gör att många, särskilt yngre eller mindre erfarna internetanvändare, känner sig tvungna att agera snabbt utan att tänka efter.
Varför är attacken svår att upptäcka?
Det finns flera anledningar till att CypherLoc ofta flyger under radarn hos säkerhetsprogram. För det första är den skadliga koden inte aktiv förrän vissa villkor är uppfyllda, vilket innebatt att många skannrar som körs i kontrollerade miljöer aldrig ser den i aktion. För det andra lämnar verktyget väldigt få filer eller registerändringar på användarens dator – den utnyttjar främst webbläsarens egna funktioner för att låsa och skrämma. För det tredje använder angriparna tekniker som gör webbläsaren långsam eller orsakar tillfälliga kraschar när någon försöker inspektera sidans kod närmare, vilket kan avskräcka nyfikna användare eller forskare från att granska vidare. Slutligen är attacken i grunden en social ingenjörsmanöver: den lyckas eftersom den får människan att tro att det är ett genuint tekniskt problem, inte eftersom den innehåller en ny typ av skadlig kod som antivirusprogrammen skulle kunna signaturbas
