Krajobraz Zagrożeń – 13.07.2026

W cyberbezpieczeństwie jedyną stałą jest zmiana, choć są pewne punkty w krajobrazie zagrożeń, których można być pewnym. Nieustanna aktywność złośliwego oprogramowania typu stealer oraz ciągłe pojawianie się nowych krytycznych podatności są jednymi z nich. Zmienia się to, czy aktualnie najpopularniejszy jest Vidar, Lumma, czy zupełnie nowy malware i czy tym razem lukę łatamy w systemie Linux (jak w przypadku Januscape), Windows, czy w firewallu. Te dwa wątki znalazły się w naszym aktualnym wydaniu Krajobrazu Zagrożeń, ale nie zabrakło także tematu mniej rozpoznanego ataku — od zatrutego wodopoju, do SMSów Premium.
Na skróty:
- Cybercrime: Kompromitacja stron WWW wykorzystana do wysyłki kampanii SMS.
- Malware: Vidar na lato (i nie tylko).
- CVE Tygodnia: Januscape. Zagrożenie dla izolacji maszyn wirtualnych.
Cybercrime
Kompromitacja stron WWW wykorzystana do wysyłki kampanii SMS
- Ponad 30 polskich serwisów WWW zostało wykorzystanych jako element infrastruktury prowadzącej kampanię Premium SMS Fraud.
- Cyberprzestępcy wykorzystują łańcuch przekierowań oraz fałszywy mechanizm weryfikacji użytkownika do nakłonienia ofiar do wysłania wiadomości SMS.
- Kampania odzwierciedla rosnący trend wykorzystywania przejętych stron internetowych jako platform do dynamicznej monetyzacji ruchu i prowadzenia oszustw.
Zidentyfikowana w ostatnich tygodniach skoordynowana kampania złośliwego oprogramowania, która dotknęła ponad 30 serwisów internetowych w domenie .pl, stanowi jaskrawy przykład masowej monetyzacji zainfekowanego ruchu internetowego. Atak opiera się na technice wstrzykiwania kodu w strukturę podatnych witryn internetowych, gdzie napastnicy umieszczają z pozoru niegroźny skrypt JavaScript mający na celu przejęcie pełnej kontroli nad nawigacją przeglądarki użytkownika.
Po przekierowaniu użytkownik trafia na stronę imitującą mechanizm weryfikacji człowieka. Komunikat „POTWIERDŹ, ŻE NIE JESTEŚ ROBOTEM” oraz przycisk „POTWIERDZAM” mają stworzyć wrażenie standardowej procedury bezpieczeństwa znanej z testów CAPTCHA. W rzeczywistości jest to element socjotechniki, którego celem jest nakłonienie użytkownika do wykonania kolejnego kroku prowadzącego do uruchomienia właściwego mechanizmu oszustwa.
Mechanizm ten sprytnie nadużywa oficjalnych funkcji standardu HTML5, a konkretnie History API poprzez metody pushState oraz replaceState. Natychmiast po załadowaniu zainfekowanej strony kod podmienia bieżący wpis w historii na aktualny adres URL, aby zamaskować ewentualne parametry sesyjne, a następnie w pętli dynamicznie generuje i wpycha do pamięci podręcznej przeglądarki dziesięć identycznych wpisów wskazujących na tę samą podstronę. Tworzy to wyrafinowaną pułapkę, ponieważ w momencie, gdy zdezorientowany użytkownik próbuje opuścić witrynę i intuicyjnie klika przycisk wstecz, przeglądarka zamiast powrotu do poprzedniej strony wywołuje jeden ze sztucznie dodanych wpisów. Aktywuje to zdarzenie popstate, które skrypt natychmiast przechwytuje, czyści wszelkie systemowe blokady opuszczenia strony i wymusza ciche przekierowanie ofiary na złośliwą domenę secure-re[.]direct zarządzaną przez system dystrybucji ruchu.
Przejście przez ten skomplikowany łańcuch przekierowań skutkuje pobraniem ostatecznego skryptu, który kryje zaawansowany kod JavaScript w pełni zoptymalizowany pod kątem urządzeń mobilnych, realizujący architekturę klient-serwer w celu przeprowadzenia oszustwa finansowego typu Toll Fraud. Skrypt w pierwszej kolejności przeprowadza profilowanie systemu operacyjnego ofiary za pomocą badania nagłówka userAgent, co pozwala mu precyzyjnie rozróżnić systemy iOS od Androida. Rozróżnienie to jest kluczowe, ponieważ oba środowiska wymagają innej składni URI do wywołania systemowej aplikacji SMS – systemy Apple wymagają separatora w postaci ampersandu (znak &), podczas gdy Android wykorzystuje znak zapytania. Następnie skrypt wysyła asynchroniczne zapytanie do panelu zarządzania napastnika, przekazując tam parametry telemetryczne, takie jak adres IP ofiary oraz unikalny identyfikator kampanii. W odpowiedzi serwer zwraca obiekt JSON zawierający precyzyjne wytyczne, czyli numer o podwyższonej opłacie tak zwany Shortcode oraz dedykowaną treść wiadomości, na przykład rzekomy kod weryfikacyjny. Po odebraniu tych danych skrypt modyfikuje zachowanie elementu interfejsu na stronie i podpina je pod przycisk klikalny dla użytkownika, co sprawia, że po jego wybraniu na telefonie otwiera się natywna aplikacja SMS z gotowym, uzupełnionym numerem i treścią, gdzie ofierze pozostaje jedynie zatwierdzenie wysyłki. fazy operacji.

Dodatkowo technika unikania detekcji na komputerach stacjonarnych sprawia, że złośliwy skrypt nie wykazuje cech klasycznego exploita i bez problemu omija standardowe zabezpieczenia antywirusowe w przeglądarce, pozostając ukrytym przed analitykami bezpieczeństwa, którzy próbowaliby badać ten incydent z poziomu tradycyjnych stacji roboczych.
Ofiary ataku są narażone na bezpośrednie straty finansowe wynikające z doliczenia do ich rachunków telekomunikacyjnych wysokich opłat za wiadomości Premium SMS lub zapisania ich numerów do płatnych subskrypcji cyklicznych. Wybrana przez atakujących strategia utrudnia wykrywanie masowych kampanii SMS. Przestępcy nie muszą prowadzić wysyłki wiadomości SMS z pojedynczych bramek lub urządzeń, a w zamian mogą korzystać z infrastruktury ofiar. Wystarczy przejęcie legalnych stron WWW i odpowiednio przygotowana socjotechnika.

Patrząc szerzej
Analizowana kampania pokazuje interesującą zmianę w sposobie wykorzystania wiadomości SMS przez cyberprzestępców. Tradycyjnie SMS stanowił kanał dostarczenia ataku (smishing), zawierając złośliwy odnośnik lub treść nakłaniającą użytkownika do działania. W analizowanym przypadku SMS nie jest nośnikiem ataku, lecz jego rezultatem – użytkownik zostaje nakłoniony do samodzielnego wygenerowania i wysłania wiadomości przygotowanej przez infrastrukturę operatora.
W szerszym kontekście incydent ten idealnie ilustruje nowe, niebezpieczne trendy w cyberzagrożeniach, wśród których dominuje tak zwany odwrócony smishing. Przestępcy, zamiast ponosić koszty masowych wysyłek SMS, które są coraz skuteczniej blokowane przez filtry operatorów, przerzucają ciężar inicjowania wiadomości na samych użytkowników zmanipulowanych przez zainfekowane witryny.
Malware
Vidar na lato (i nie tylko)
- Analitycy Unit42 zidentyfikowali kampanię dostarczającą stealera Vidar i miner kryptowalut XMRig do ofiar przede wszystkim w Europie oraz USA. Atakujący wykorzystują malvertising i podszycia pod „crackowane” płatne oprogramowanie, co wpisuje się w standardowe metody afiliantów MaaS (Malware-as-a-Service).
- W ostatnich tygodniach obserwujemy wzrost w liczbie pojawiających się próbek tego złośliwego oprogramowania oraz infekcji z jego wykorzystaniem.
- Wśród dzieci i młodzieży wakacje mogą wiązać się z dłuższym czasem spędzonym przy komputerze, a wiele scenariuszy prowadzących do infekcji złośliwym oprogramowaniem jest stworzonych wprost pod młodych graczy.
Badacze Unit 42 zidentyfikowali kampanię cyberprzestępczą motywowaną finansowo, której celem są użytkownicy indywidualni oraz małe i średnie przedsiębiorstwa, głównie w Stanach Zjednoczonych i krajach Unii Europejskiej. Ataki opierają się na reklamach prowadzących do stron podszywających się pod serwisy oferujące pirackie wersje popularnego oprogramowania. Pobierane archiwa zawierają loader odpowiedzialny za uruchomienie dwóch komponentów: Vidar Stealera oraz XMRig — koparki kryptowalut (w tym przypadku Monero).
Analiza wskazuje na wykorzystanie rozbudowanych mechanizmów utrudniających wykrycie zagrożenia. Loader został przygotowany w oparciu o framework Factory-v3 dla języka Go, podpisano go fałszywym certyfikatem nawiązującym do legalnej organizacji, a sam plik sztucznie powiększono do setek megabajtów poprzez dodanie pustych danych. Takie działania utrudniają działanie części narzędzi bezpieczeństwa, w tym sandboxów, które często posiadają ograniczenia co do wielkości pliku. Dodatkowo malware wykonuje enumerację procesów oraz modyfikuje funkcję AmsiScanBuffer w pamięci, omijając mechanizmy AMSI odpowiedzialne za kontrolę wykonywanego kodu.
Po uzyskaniu dostępu do systemu złośliwe oprogramowanie zapewnia persystencję poprzez wpisy w rejestrze, zaplanowane zadania oraz skrypty umieszczone w folderze autostartu. W dalszej kolejności gromadzi informacje o urządzeniu, identyfikatorze sprzętowym i konfiguracji sieciowej, a następnie przekazuje do serwerów C2 zapisane w przeglądarkach hasła, pliki cookie, dane portfeli kryptowalutowych i inne poufne informacje. Równolegle uruchamiany jest XMRig, zapewniający operatorom dodatkowe źródło dochodu dzięki wykorzystaniu mocy obliczeniowej urządzeń ofiar. Zastosowanie modelu łączącego kradzież danych z nieautoryzowanym kopaniem kryptowalut zwiększa rentowność kampanii i zapewnia afiliantom szybszy zysk.
Jako CERT Orange Polska monitorujemy rozwój i obecność złośliwego oprogramowania w cyberprzestrzeni śledząc nowe próbki. W ostatnich tygodniach obserwujemy ciągły przyrost liczby próbek Vidara oraz aktywnych infekcji z jego wykorzystaniem przez co wyróżnia się na tle innych rodzin. Przykładowe pliki docierające do polskich internautów wskazują na opisywane przez analityków scenariusze:
- „cracki” do płatnego oprogramowania (Adobe After Effects),
- „hacki” lub modyfikacje do gier komputerowych (Forza Horizon, Roblox).
Z wcześniejszych analiz wiemy, że jednym z głównych sposobów dystrybucji stealerów (poza malvertisingiem) są nadal filmy na platformie YouTube zawierające opis działania funkcji lub narzędzia wraz z instrukcją instalacji i odnośnikiem do pobrania znajdującym się w opisie. Jednak pod wskazanym adresem zamiast oczekiwanego oprogramowania, znajduje się malware

Patrząc szerzej
Złośliwe oprogramowanie typu stealer to stały punkt krajobrazu zagrożeń od wielu lat. Model działania jakim jest MaaS gwarantuje nieustające, zróżnicowane kampanie, zmienność scenariuszy i okresowe wzrosty aktywności danej rodziny malware zależne od aktualnej popularności danego rozwiązania wśród afiliantów. Prowadzi to także do przenikania się bardzo podobnych ataków z wykorzystaniem różnych stealerów. Poruszając się po sieci warto o pamiętać, że pewne zagrożenia nie znikają i znajdują ofiary na dowolnej aktualnie popularnej platformie.
Sezon wakacyjny sprzyja spędzaniu więcej czasu na grach komputerowych lub rozwoju pasji związanych z technologiami, co sprawia, że opisywane scenariusze mogą dalej zyskiwać na popularności i zbierać żniwo. Choć problem dotyczy każdej grupy wiekowej to warto pamiętać o tej szczególnie narażonej w okresie letnim jaką są dzieci oraz młodzież. Warto upewnić się, że mają świadomość zagrożeń, a ich cyfrowa przestrzeń dla rozrywki jest oddzielona od tej umożliwiającej dostęp do wrażliwych i wartościowych danych. Zadbajmy, żeby nie korzystały z urządzeń służbowych rodziców i współdzielonych kont posiadających podwyższone uprawnienia.
Więcej informacji:
https://unit42.paloaltonetworks.com/vidar-stealer-xmrig-miner-campaign-analysis/
CVE Tygodnia
Januscape. Zagrożenie dla izolacji maszyn wirtualnych
- Januscape (CVE-2026-53359) to podatność typu use-after-free w mechanizmie shadow MMU hypervisora KVM/x86 w jądrze Linuksa. Problem dotyczy warstwy odpowiadającej za izolację między maszyną wirtualną a hostem.
- Publicznie dostępny PoC pozwala na przeprowadzenie ataku prowadzącego do paniki kernela hosta, w efekcie ataku DoS. Opis podatności oraz analiza badaczy wskazują jednak na szerszy potencjalny wpływ, obejmujący także przełamanie izolacji między maszyną wirtualną a hostem, choć pełny exploit nie został publicznie udostępniony.
- Największe ryzyko dotyczy hostów KVM/x86 uruchamiających niezaufane maszyny i udostępniających nested virtualization. Osobnym scenariuszem pozostaje lokalna eskalacja uprawnień tam, gdzie urządzenie /dev/kvm ma zbyt szerokie uprawnienia.
Podatność Januscape, oznaczona jako CVE-2026-53359, dotyczy mechanizmu KVM/x86 w jądrze Linuksa i jest błędem typu use-after-free w mechanizmie shadow MMU. W praktyce oznacza to sytuację, w której host nieprawidłowo zarządza strukturami pamięci wykorzystywanymi przez mechanizm wirtualizacji, a późniejsze operacje odwołują się do pamięci, która nie powinna już być używana.
Znaczenie podatności nie sprowadza się wyłącznie do błędu w zarządzaniu pamięcią. Januscape dotyczy warstwy odpowiadającej za utrzymanie izolacji między maszyną gościnną a hostem. Publicznie dostępny PoC pokazuje, jak przeprowadzić atak, który skutkuje paniką kernela hosta, efektywnie ataku DoS, jednak opis podatności obejmuje również scenariusze wykraczające poza samą destabilizację systemu. Z tego względu problem ma szczególne znaczenie w środowiskach, w których na jednym hoście działa wiele maszyn należących do różnych użytkowników lub klientów.
Największe ryzyko dotyczy środowisk, w których maszyny gościnne mogą korzystać z nested virtualization. W takim przypadku wykonywany jest kod mechanizmu shadow MMU objęty podatnością. Jest to szczególnie istotne dla środowisk wielodzierżawczych, platform testowych, infrastruktury hostingowej oraz chmur publicznych opartych na KVM/x86, jeśli uruchamiane tam maszyny nie są w pełni zaufane.
Osobnym scenariuszem jest lokalna eskalacja uprawnień. Jeżeli urządzenie /dev/kvm ma zbyt szerokie uprawnienia, podatność może zostać wykorzystana również lokalnie przez nieuprzywilejowanego użytkownika posiadającego do niego dostęp. CloudLinux zwraca uwagę, że w takiej sytuacji samo ograniczenie dostępu do urządzenia może zmniejszyć ekspozycję na atak lokalny, ale nie rozwiązuje problemu na hostach, które rzeczywiście uruchamiają maszyny KVM i są narażone na scenariusz guest-to-host.
Podstawowym działaniem obronnym pozostaje aktualizacja kernela do wersji zawierającej poprawki. NVD odsyła do odpowiednich zmian w stabilnych gałęziach jądra, a dostawcy dystrybucji publikują własne wydania naprawcze oraz backporty.
Z perspektywy administratora infrastruktury wirtualnej lista działań jest dość konkretna. Warto zweryfikować:
- czy host korzysta z KVM/x86,
- czy dopuszcza nested virtualization,
- czy działa już na jądrze zawierającym poprawki,
- czy urządzenie /dev/kvm nie jest dostępne szerzej, niż jest to konieczne.
W środowiskach współdzielonych to właśnie te elementy w największym stopniu decydują o rzeczywistej ekspozycji na Januscape.

Patrząc szerzej
W szerszym krajobrazie zagrożeń Januscape przypomina, że analiza ryzyka dla hypervisora nie powinna kończyć się na samym haśle „VM escape”. Równie ważne są konfiguracje lokalne, takie jak dostęp do /dev/kvm, oraz funkcje zwiększające elastyczność środowiska, takie jak nested virtualization, które mogą jednocześnie zwiększać powierzchnię ataku. Podatności w warstwie wirtualizacji należy oceniać razem z konfiguracją hosta, a nie w oderwaniu od niej.
Więcej informacji:
https://windowsforum.com/threads/cve-2026-53359-januscape-kvm-bug-enables-guest-to-host-escape.436204/
https://blog.cloudlinux.com/januscape-cve-2026-53359-mitigation-and-kernel-update-on-cloudlinux
https://github.com/V4bel/Januscape
https://nvd.nist.gov/vuln/detail/CVE-2026-53359