En ny rapport från cybersecurity-experter på Forcepoint X-Labs avslöjar en dramatisk ökning av e-postattacker. Forskningen pekar på en tydlig trend i tredje kvartalet 2025, där cyberkriminella aktivt försöker dölja skadlig programvara inuti filer som ser helt normala ut. Dessa attacker utnyttjar mottagarens förtroende genom att presentera sig som legitima affärskommunikationer, som falska fakturor, fraktmeddelanden eller offerter.

Forskningsteamet har identifierat återkommande ämnesrader som "RE: Payment Swift MT103" och "DHL Shipment Notification", ofta lokaliserade till mottagarens språk. Angriparna använder dessa lurer i flera språk, som spansk ("Solicitud de cotización"), för att rikta in sig på företag som talar andra språk än engelska. Detta är en tydlig strategi för att öka attackytan.

Attacken inleds vanligtvis med en komprimerad arkivfil (t.ex. ZIP, RAR, 7z eller TAR) som innehåller en JavaScript-fil. Denna JavaScript-fil är kraftigt förvirrad (obfuscated), vilket innebär att koden är avsiktligt förstörd för att göra det svårt för säkerhetsverktyg att läsa och stoppa den. När en användare luras att öppna filen agerar skriptet som en nedladdare, och startar nästa fas av attacken genom att använda legitima Windows-verktyg som PowerShell och WMI (Windows Management Instrumentation) – en teknik som kallas "Living off the Land" (LotL) – för att utföra kommandon utan att visa ett fönster.

För att ytterligare dölja sin aktivitet använder angriparna steganografi, vilket innebär att ett fil, meddelande eller information döljs inuti en annan fil. I dessa attacker är den skadliga koden dold i en skynlig bildfil, till exempel en PNG-fil. Den skadliga lasten är kodad i Base64 i bildens dataström. Nedladdningsskriptet extraherar och dekoder sedan denna Base64-data för att rekonstruera den slutliga binären.

Den slutliga lasten är oftast Remote Access Trojans (RATs) och informationsstjälande program. Exempel som hittats under utredningen inkluderar DarkCloud, Remcos, Agent Tesla och Formbook, alla designade för att stjäla kritisk data. Efter installation initierar dessa payloads Command and Control (C2) kommunikation för att exfiltrera stulna inloggningsuppgifter, bankinformation och systemdata.

Det är värt att notera att dessa attacker är mycket komplexa och använder avancerade tekniker som process hollowing (där skadlig kod körs inuti ett förtroende program som RegASM.exe för att dölja sin aktivitet) och funktioner för att undvika att detekteras av virtuella maskiner som används för säkerhetsanalys. Forcepoint X-Labs rekommenderar att organisationer kombinerar avancerade e-postfilter, endpoint-skydd och användaruppmärksamhet för att skydda sig mot denna hot.