W 2025 r. fałszywe inwestycje stanowiły aż 67,92% wszystkich domen zablokowanych przez CyberTarczę Orange. Wzrost w stosunku do roku 2024 wyniósł prawie 8 pp.

Jak wyglądają reklamy na Facebooku? Do 2022 r. oszuści wykorzystywali proste banery, łatwe do rozpoznania i wykrycia. Problem zaczął drastycznie rosnąć w latach 2022-23, gdy w zespołach bezpieczeństwa Mety nastąpiły duże cięcia w zatrudnieniu. Równolegle zredukowano środki na rozwijanie automatycznej detekcji oszukańczych reklam. Miało to być spowodowane zmianą kierunku rozwoju giganta z Menlo Park. Działy bezpieczeństwa otrzymały wytyczne, aby zmniejszyć wykorzystanie mocy obliczeniowej dla swoich działań na poczet rozwoju AI.

Nowy format reklamy na Facebooku? „Upgrade dla oszustów”

Zmiana formatu reklam z obrazu do wideo nadała tempa przekrętom. Treści w tym formacie są trudniejsze do automatycznej moderacji. Okrojone z kapitału ludzkiego i technologicznego mechanizmy Mety nie miały prawa nadążyć za oszustami. Ci szybko wynajdywali ich luki i stosowali obejścia zabezpieczeń. Wraz ze wzrostem liczby reklam omijających mechanizmy antyfraudowe (mające przeciwdziałać oszustwom) fałszywe reklamy na Facebooku okazywały się być coraz skuteczniejsze. A to przyciągało coraz większą rzeszę oszustów. Mechanizm nabierał coraz większego rozpędu.

Co więcej, sztuczna inteligencja umożliwiła masowe produkowanie fałszywych treści. Choćby deepfake, czyli możliwości stworzenia treści do złudzenia sprawiającej wrażenie jakbyśmy faktycznie mieli do czynienia z celebrytą, politykiem, czy ekspertem branżowym. W efekcie ci ludzie „promowali oszustwa” swoim wizerunkiem, nie mając o tym pojęcia. To co wcześniej wymagało studia albo skomplikowanych umiejętności, dziś wymaga jedynie przeglądarki, dostępu do internetu i odpowiednio przygotowanego prompta (polecenia tekstowego) dla modelu AI.

Technologia deepfake okazała się przełomowa dla oszustów. To ogromny skok w jakości dostarczanych przez nich materiałów. Efekt może okazać się nie do odróżnienia, w szczególności dla poniższych grup, stanowiących główne cele kampanii do których prowadzą fałszywe reklamy na Facebooku:

• seniorzy (fałszywe świadczenia, reklamy leków)
• osoby chcące pomnożyć swoje oszczędności (fałszywe inwestycje)
• kupujący w internecie (fałszywe sklepy internetowe)
• a w zasadzie każdy z nas (dezinformacja)

Reklamy na Facebooku jako artykuł sponsorowany

Sensacyjna informacja w mediach? Nie – to socjotechniczna sztuczka. Natywny format imitujący news, przekierowujący na sklonowane strony, podszywające się pod popularne media.

Do niedawna tego typu materiał musiał zawierać widoczny adres strony docelowej. Sprawiało to, że oszuści zmuszeni byli kupować domeny choć trochę podobne do stron, pod które się podszywali (choć jak widać poniżej, nie zawsze się tym kierowali). Od niedawna jednak Meta zdecydowała się na usunięcie tego wymogu. Poniżej przykład pokazujący różnicę:

Dlaczego teraz łatwiej wykorzystać reklamy na Facebooku by nas oszukać? Publikacja Reuters autorstwa Jeffa Horowitza z listopada 2025 odkrywa wiele ciekawych liczb. Wyniki śledztwa są porażającym potwierdzeniem tego, o czym branża cyberbezpieczeństwa mówiła od dawna.

Około 10% przychodów Mety w 2024 pochodziło z reklamowania oszustw! To równowartość 16 miliardów dolarów! Tymczasem użytkownicy Facebooka oglądają 15 miliardów fałszywych reklam… każdego dnia. Ile wyniosły w tym czasie wydatki Mety na walkę z oszustwami? Marne 135 milionów dolarów. To znacznie poniżej 1 procenta z zarobionych na działalności oszustów pieniędzy! Warto zaznaczyć, że nie chodzi tylko fałszywe inwestycje. Ta liczba zawiera również manipulacje polityczne i dezinformację.

0,003 procenta fałszywych reklam trafia do kosza

Inwestycja 135 milionów dolarów w problem generujący 16 miliardów dolarów przychodów wydaje się być delikatnie mówiąc sporna biznesowo. Tym bardziej, że efekty wydają się być absurdalnie niskie. Zastanawialiście się kiedyś ile fałszywych reklam usuwa Meta?

W 2025 roku było ich 159 mln. Przy wspominanych 15 miliardach dziennie daje wynik 0,0029%.

Dookoła (nie)skuteczności Mety w samej tylko Polsce narosło kilka głośnych spraw. Najbardziej medialną był spór dotyczący wykorzystania wizerunku biznesmena Rafała Brzoski i jego żony Omeny Mensaah. Efekt? Sukces! Wywalczony sądowy zakaz wykorzystywania ich wizerunków na platformach Meta! Problem tylko w tym, że zakaz… nic nie dał. Deepfake’owe reklamy na Facebooku z Rafałem Brzoską wciąż się pojawiają.

Więcej przykładów znajdziecie w znakomitej prelekcji pt. „Scambook v1.1” Piotra Zarzyckiego, eksperta CERT Orange Polska, wygłoszonej na ubiegłorocznej konferencji Confidence.

Co dzisiaj, rok później, sądzi nasz ekspert o tym procederze? Czy coś się zmieniło?

Facebook od lat przekonuje, że robi wszystko, by walczyć z oszustwami. Problem w tym, że efektów tej walki nie widać. Widać za to coś innego – z roku na rok przybywa scamów, fałszywych reklam i kolejnych ludzi, którzy tracą przez to realne pieniądze.
Ofiary zostają same z problemem, a Facebook… przekonuje, że robi wszystko by walczyć z oszustwami. Platforma masowo wyświetla oszukańcze treści nie ponosząc za to praktycznie żadnej odpowiedzialności. Algorytmy zamykają użytkownika w „bańce” scamu i w efekcie dzień w dzień widzi on te same oszukańcze reklamy i spreparowane materiały z twarzami znanych osób, które obiecują niebotyczne zyski.
Po którymś razie część osób zaczyna po prostu wierzyć, że to musi być prawda. Naiwnie zakładają, że gdyby to było oszustwo, to ktoś już dawno by zareagował i nie pozwolił na tak długotrwały proceder. Na tym polega największy skandal, ludzie tracą oszczędności, bo nie przypuszczają nawet, że tak wielka platforma mogłaby dopuścić do tak jawnego zalewu fałszywych reklam.
Niestety, patrząc na dotychczasowe postępy z walką ze scamem nic nie wskazuje na to, żeby miało się cokolwiek zmienić. Trudno wierzyć w dobre intencje firmy, która od lat zarabia olbrzymie pieniądze na systemie reklamowym, gdzie fałszywe reklamy na Facebooku świetnie się monetyzują.

Jak nie dać się oszukać?

Post na Instagramie proponuje Ci atrakcyjną inwestycję? A może celebryta na Facebooku usiłuje Ci dowieść, jak fantastyczne zyski osiągnął? Zanim zdecydujesz się kliknąć – sprawdź nasz artykuł na temat fałszywych inwestycji.

Nie wierz w wyjątkowo atrakcyjne okazje. Zanim zrobisz zakupy w nowym sklepie – zweryfikuj go sprawdzając adres, regulamin, kontakt i wpis do CEiDG. Przeczytaj nasz artykuł analizujący fałszywy sklep, wykorzystujący Facebook do reklamowania.

I pamiętaj o ryzyku siania dezinformacji za pośrednictwem mediów społecznościowych. Dezinformacja zawsze gra na emocjach i polaryzacji. Weryfikuj przyjmowane informacje szukając ich w przynajmniej kilku źródłach.

The post Meta zarobiła 16 mld dolarów na scamach w 2025 r. Oto dlaczego w 2026 zarobi jeszcze więcej. appeared first on CERT Orange.

Z artykułu dowiesz się:

• Co to jest ClickFix
• Mechanizm działania ClickFix i jego popularność
• MacOS Tahoe 26.4.1: nowa ochrona przed ClickFix
• Jak się chronić przed techniką ClickFix

Co to jest ClickFix

Popularność ClickFix wynika z prostoty. Atakujący nie muszą przekonywać ofiary do klasycznej instalacji podejrzanego programu. Wystarczy, że skłonią ją do wykonania polecenia, które pobierze lub uruchomi złośliwy skrypt. Taki scenariusz może przypominać zwykłą instrukcję instalacji, aktualizacji albo rozwiązania problemu technicznego.

Mechanizm działania ClickFix i jego popularność

Zainfekowanie komputera odbywa się poprzez wklejenia komendy w oknie „Uruchom” w systemie Windows, aplikacji PowerShell lub terminalu na komputerze z macOS. Komenda ta jest napisana w sposób niezrozumiały dla większości użytkowników, ale jasna dla systemu operacyjnego. Kluczowym elementem tej metody jest fakt, że to użytkownik wykonuje polecenie, przez co system traktuje działanie jako świadome i autoryzowane. W efekcie mechanizmy bezpieczeństwa często nie reagują, a złośliwe oprogramowanie może zostać uruchomione bez większych przeszkód.

MacOS Tahoe 26.4.1: nowa ochrona przed ClickFix

Jak to często bywa, najsłabszym ogniwem cyberbezpieczeństwa jest sam użytkownik, dlatego też Apple w aktualizacji Tahoe 26.4.1 wprowadził pewne ograniczenie. W momencie próby wklejenie instrukcji do terminala z przeglądarki Safari, wyświetli nam się poniższy komunikat.

Wyobraźmy sobie taki przykład: chcemy pobrać jakieś znane nam oprogramowanie, wyszukujemy je za pomocą przeglądarki. Wybieramy pierwszy link z wyszukiwarki, klikamy w pobierz. Na nieoficjalnej stronie produktu widzimy nowy sposób instalacji oprogramowania. Aby zainstalować aplikację, wystarczy skopiować i wkleić komendę do terminala. Czarna magia? Nie, wszakże wiele aplikacji można tak zainstalować, czy to na Linuksie czy na MacBooku. A nawet, jeśli nie mamy doświadczenia przy obsłudze w korzystaniu z wiersza poleceń, jesteśmy prowadzeni za rękę – mamy podane nawet skróty, które musimy wybrać na klawiaturze. Finalnie kopiuj / wklej. Co może pójść nie tak? A jednak może. Może to być podstawiona przez oszustów strona, która ma przypominać oficjalną stronę aplikacji, a podsunięty nam kod jest zainfekowany.

Wklejając niezrozumiały nam kod do terminala w komputerze – niezależnie od tego, czy jest to macOS, czy Windows – wydajemy komendy dla swojego urządzenia. Nawet jeśli ich nie rozumiemy, a nawet jeśli są one zamaskowane – maszyna je zrozumie.

Nowością w macOS Tahoe 26.4.1 jest komunikat bezpieczeństwa w momencie próby wklejenia potencjalnie szkodliwej komendy skopiowanej w przeglądarce Safari.

Wykryto złośliwe oprogramowanie, Wklejanie zablokowane
Kopiowanie i wklejanie zostało zablokowane, ponieważ zawiera złośliwe oprogramowanie. Ta czynność nie wyrządziła szkody Twojemu komputerowi Mac. Złośliwe instrukcje mogą sprawiać wrażenie legalnych i są zazwyczaj przekazywane na stronach internetowych, przez agentów czatu,
w aplikacjach, plikach lub przez telefon.

Jak się chronić przed techniką ClickFix

Najważniejsza zasada jest prosta: nie uruchamiaj komend, których nie rozumiesz i których źródła nie jesteś w stanie wiarygodnie zweryfikować. Dotyczy to terminala, PowerShella i okna „Uruchom”. Jeśli instalacja programu wymaga wklejenia nietypowego polecenia ze strony internetowej, warto zachować szczególną ostrożność.

 W praktyce warto pamiętać o kilku zasadach:

• pobieraj aplikacje wyłącznie z oficjalnych stron lub zaufanych sklepów,
• sprawdzaj dokładnie adres strony, zanim skopiujesz jakąkolwiek komendę,
• nie ufaj instrukcjom, które wywierają presję lub obiecują „szybką naprawę”,
• przerwij działanie, jeśli strona każe wkleić polecenie do terminala bez jasnego wyjaśnienia,
• aktualizuj system operacyjny i oprogramowanie ochronne.

Podsumowanie

ClickFix nie opiera się na technicznej złożoności, lecz na skutecznej manipulacji. Sam w sobie jest bardzo prosty. Zdarza się, że możemy być narażeni tym zagrożeniem podczas próby pobrania plików z sieci lub nawet przy potwierdzaniu CAPTCHA (potwierdzeniem, że jesteśmy człowiekiem) przy wejściu na witrynę. Ten przypadek opisywaliśmy niespełna rok temu w artykule „Zainfekuj się sam„. Zmieniają się scenariusze tej socjotechniki, jednak każda z nich wymaga od użytkownika wprowadzenia komendy do komputera.

Najprostsza zasada bezpieczeństwa brzmi więc: nie kopiuj i nie wklejaj komend, których nie rozumiesz.

The post Apple ogranicza ClickFix w macOS. Nowa ochrona przed atakiem „kopiuj i wklej”. appeared first on CERT Orange.

Media społecznościowe to ważne miejsce w życiu dla 68,3% chłopców i 80,5% dziewcząt. Badania dr Jacka Pyżalskiego przywoływane we wspominanym raporcie wykazały jednak również, iż przeszło 6 na 10 badanych nie doświadczyło w internecie w ciągu roku poprzedzającego badanie: „czegoś, co sprawiło, że poczuli się zmartwieni, nieswojo, smutno, przestraszeni, lub woleliby tego nie zobaczyć”. Czy to znaczy, że social media nie mają wcale aż tak negatywnego wpływu na nastolatków?

Mniej przemocy, ale szkodliwe treści nadal są obecne

Czy nawiązując do kolejnych wyników z EU Kids Online można nabrać nieco optymizmu? Młodzież pytana o ekspozycję na niebezpieczne treści w roku poprzedzającym badanie, odpowiedziała bowiem, że ani razu nie zetknęła się z poniższymi w następującym odsetku:

• treści związane z zaburzeniami odżywiania: 44,7%
• teorie spiskowe: 47,9%
• internetowe „challenge”: 55,3%
• krzywda/samookaleczenie: 59,5%
• przemoc: 60,6%
• zażywanie narkotyków: 68%
• samobójstwo: 69,4%
• pornografia: 70,2%

Z drugiej strony jednak grupa badanych, którzy z tego typu treściami stykają się przynajmniej raz w tygodniu lub częściej to od 6,4% do 16,4%. Mało? Przyznam, że obawiałem się, że będzie ich więcej, ale to wciąż za dużo. 6% to 1,5 dziecka w 25-osobowej klasie. To wciąż zbyt dużo.

Ale zastanówmy się, czemu tam trafili? Być może nie każdy był świadomy… że ma styczność z takimi treściami. Internetowi twórcy bardzo często operują na podtekstach czy żartach, podając treści w w sposób niejednoznaczny. A my? Cóż, w dzisiejszych czasach pochłaniamy ogromne ilości nierzadko nieświadomie.

Media społecznościowe (nie) dla każdego?

Osobom, które dorastały przed, czy na początku ery internetu często ciężko zrozumieć fakt, iż dla młodszych media społecznościowe potrafią być głównym źródłem informacji. Choćby przytaczany niedawno szeroko przykład dwójki influencerów, którzy wyjechali do kraju o znacząco podwyższonym ryzyku działań wojennych, mimo ostrzeżeń MSZ i informacji z głównych stron portali informacyjnych, czego konsekwencji doświadczyli.

Dlaczego nie wiedzieli o możliwym wybuchu wojny? Przyznali się do tego w jednej ze swoich rolek, twierdząc, że „na ich TikToku są główni ogłoszenia ciąż i dzieci”. Podjęli potencjalnie duże ryzyko, tymczasem jako dorośli są odpowiedzialni za swoje działania i wybory.

Czy jednak nastoletnia młodzież zawsze jest w stanie zapanować nad rolą, jaką w ich życiu pełnią media społecznościowe? Mówimy o grupie wiekowej, u której mózg przechodzi przez istotne zmiany w obszarach odpowiedzialnych za emocje, samokontrolę i podejmowanie decyzji, o czym piszę w najnowszym Raporcie CERT Orange Polska.

Na chwilę zapomnijmy o młodzieży. Zastanówcie się nad tym, co robicie sami. Jak często zdarzyło Wam się odruchowo przeklikiwać się przez kolejne shorty na Instagramie, Youtubie, czy TikToki? Jak często zostawaliście na Twitterze dłużej…

Dlaczego tak się dzieje? Wszystkiemu winna jest…

Dopamina, czyli (prawie) całe zło

Czym jest dopamina?

To neuromodulator mózgowy kluczowy dla układu nagrody: koduje przede wszystkim błąd przewidywania nagrody, wzmacniając uczenie nawyków i motywację do powtarzania działań, które przyniosły korzyść.

Co ciekawe, gdy chodzi o social media kluczem wcale nie jest docelowa przyjemność. Tu nie chodzi o to, by złapać króliczka, ale by gonić go. Media społecznościowe charakteryzuje zmienny harmonogram wzmocnień: nieregularne lajki, komentarze i „trafione” treści. One wszystkie tworzą niepewność. A ta silnie podbija fazowe sygnały dopaminowe. To trochę jak korzystanie z automatu z nagrodami, gdzie najważniejsze są emocje:

Czy trafi na mój numer? Wypadną trzy wisienki???

Sama nagroda jest wtórna. Dopamina uczy mózg, za jakimi sygnałami i działaniami warto podążać. A social media wykorzystują to, by utrzymywać wysoki napęd do kolejnych sprawdzeń. Po co? Po to byś został/a w serwisie jak najdłużej.

To media społecznościowe kierują nami

Tymczasem na poziomie biochemii mózgu nadmierne korzystanie z dopaminowych treści może generować uzależnienie tożsame z nadużywaniem alkoholu, czy narkotyków. Co więcej – patrząc już ze stricte bezpieczniackiego punktu widzenia – użytkownik działający w stanie ciągłego pobudzenia (i w efekcie fragmentarycznej uwagi) jest bardziej podatny na impulsywne reakcje. A to może istotnie wpłynąć na bezpieczeństwo jego zachowań w sieci.

Jak często zdarzyło Ci się przesłać coś dalej przez media społecznościowe bez chwili refleksji? Czy przypominasz sobie sytuacje, gdy bezrefleksyjnie wplątujesz się w emocjonalne dyskusje w sieci? Czy sensacyjnie brzmiące treści przesyłasz dalej zanim sprawdzisz, czy na pewno są prawdziwe?

Jeśli Ty tak robisz, będąc osobą dorosłą – zastanów się jak odbiera to młodzież? Czy dysponujesz wiedzą, jak działają algorytmy, których używają media społecznościowe? Narzędzia analizy, których używają, potrafią sprofilować Cię po kilkudziesięciu interakcjach tak bardzo, że dysponują o Tobie wiedzą nierzadko większą niż najbliższe Ci osoby, albo sam/a Ty!

Rodzicu – co możesz z tym zrobić?

Przede wszystkim wiedzieć, o czym mówimy. Na nas jako rodzicach spoczywa odpowiedzialność za wychowanie i bezpieczeństwo dzieci. Jeśli wychowujesz młodego człowieka – nie strasz go/jej. Bądźmy otwarci na rozmowę i stworzenie atmosfery zaufania. Najpierw „poznaj wroga” – czyli platformy społecznościowe z których korzysta Twoje dziecko. Bez wiedzy na temat ich działania nie da się wiarygodnie edukować w aspekcie panujących tam zagrożeń.

Nie karz, nie strasz, nie zawstydzaj. Poczytaj więcej o dopaminie, w tym tekście na stronie 102 w Raporcie CERT Orange Polska, który był podstawą do tego artykułu. To pomaga zrozumieć, iż decyzje podejmowane przez młodzież (a nierzadko i przez dorosłych) mogą nie być w pełni świadome. Karanie i zawstydzanie może prowadzić do ukrywania problemów, o których nam się jeszcze nawet nie śniło. Nie zawsze będziemy wiedzieć o każdym zagrożeniu, na które młodzież może się natknąć w internecie, by o nich na czas ostrzec.

The post Media społecznościowe i dopamina – najnowsze raporty o młodzieży w sieci appeared first on CERT Orange.

Ile ich jest? Pomiędzy jedną a setkami milionów. Badacz bezpieczeństwa Haifei Li w swoim poście na serwisie X wezwał swoją społeczność do pomocy przy analizie:

Zapisy są otwarte, każdy kto czuje się na siłach może dołączyć.

To ciekawe bo Adobe na swojej stronie publikuje ostatni update aplikacji na macOS i Windows z 10.04.2026 dla aż trzech produktów: Acrobat DC, Acrobat Reader DC, Acrobat 2024. Aktualizacja obejmuje zatem również starsze produkty i ich release. Łatała aż trzy podatności klasy CVE, są to kolejno: CVE-2026-27220, CVE-202627278, CVE-2026-27221.

Zalecamy zaktualizować aplikacje Adobe Acrobat i wyczekiwać kolejnych łatek.

Źródła:
https://www.securityweek.com/adobe-reader-zero-day-exploited-for-months-researcher/
https://helpx.adobe.com/security/products/acrobat/apsb26-26.html
https://x.com/HaifeiLi/status/2041967201918599664

The post Aktualizujcie Adobe Reader, ale to nie wszystko appeared first on CERT Orange.

Łańcuch dostaw

Przekleństwa zależności i automatycznej aktualizacji, czyli Axios na celowniku.

W ostatnim czasie ataki na łańcuch dostaw, szczególnie w zakresie ataków na biblioteki i projekty open-source, stały się szczególnie dotkliwe i tym samym medialne. Opisywaliśmy niedawno incydenty związane z LiteLLM oraz Trivy, ale kolejne dni przyniosły nowy przykład jak powszechnie wykorzystywane zależności mogą zostać użyte do realizacji celów przez atakujących. Tym razem zatrute zostały paczki npm popularnego klienta HTTP do JavaScript Axios.

Instalując tę bibliotekę za pomocą menadżera pakietów (npm install axios) w wąskim oknie czasowym w nocy 31 marca pobierana była jedna z dwóch domyślnych wersji: latest (1.14.1) lub legacy (0.30.4), które zostały zatrute. Paczki mają odpowiednio średnio 100 milionów i 83 miliony pobrań tygodniowo, co czyni je wartościowym celem, który w przypadku przejęcia daje potencjalny dostęp do wielu zasobów i stacji roboczych.  Złośliwa modyfikacja polegała na dołączeniu zależności runtime — plain-crypto-js@4.2.1 — nieobecnej w poprzednich wersjach biblioteki axios i opublikowanej dzień przed atakiem. Według analizy metadanych opublikowanych paczek, przejęto konto osoby utrzymującej bibliotekę npm axios. Zmieniono przypisany do konta adres e-mail oraz opublikowano nowe wersje pakietu z pominięciem mechanizmu OIDC Trusted Publisher i całego procesu CI/CD. Zainfekowane wersje biblioteki były dostępne jedynie 2-3 godziny, lecz automatyczna aktualizacja lub instalacja w tym oknie czasowym inicjowała dalsze etapy ataku. 

Instalowana paczka pobiera plain-crypto-js@4.2.1 jako zależność runtime, co ze względu na wykorzystanie hooków postinstall skutkuje wykonaniem skryptu setup.js zawierającego zakodowane komendy. Realizują one funkcje droppera weryfikującego system operacyjny urządzenia ofiary i dostosowując dalsze kroki do wykrytej platformy. W zależności od systemu, do serwera C2 wysyłane było inne zapytanie. Różniła je jedynie cyfra znajdująca się w jego treści: packages.npm.org/product0 dla macOS, product1 dla Windows lub product2 dla Linux (i jakiegokolwiek innego przypadku niebędącego Windowsem lub macOS). Następnie z wykorzystaniem odpowiednich dla systemu narzędzi pobierany był właściwy payload.  

We wszystkich przypadkach dostarczane były różne implementacje tego samego złośliwego oprogramowania typu RAT. Dla macOS w formie skompilowanego C++, w przypadku Windowsa jako skrypt PowerShell i dla wszystkich innych platform skrypt Python. W ostatnim przypadku do wykonania konieczne jest jedynie działa komendy curl i obecność w systemie python3. Wszystkie wersje łączy wykorzystywany protokół C2, dostępny zestaw komend, zachowanie beacona i spoofowany user-agent. W każdym wariancie RAT posiadał funkcje wykonania skryptów, wstrzyknięcia/wykonania plików binarnych oraz enumeracji folderów. Zacieranie śladów również było obserwowane niezależnie od systemu. Rozwiązanie jest wyraźnie cross-platformowe, co zwiększyło jego zasięg i skuteczność. Zróżnicowanie środowisk deweloperskich sprawia, że atakujący dostosowują się do każdych warunków w jakich może znaleźć się dropper i malware.  

Incydent jest zbliżony w charakterze do obserwowanej serii ataków supply chain, lecz w tym przypadku pojawiła się konkretna atrybucja ze strony zespołów Microsoft i Mandiant. Przypisali tę aktywność odpowiednio do UNC1069 i Sapphire Sleet jednocześnie wskazując na pokrywające się profile opisywanych grup motywowanych finansowo. Zgodnie stwierdzają również, że to aktywność związana z szerzej obserwowaną strategią grup powiązanych z Koreą Północną nastawionych na kradzież kryptowalut. UNC1069 jest aktywne od co najmniej 2018 roku, a powiązanie ze wcześniejszymi ich działaniami było możliwe na podstawie wykorzystania nowej wersji złośliwego oprogramowania WAVESHAPER (wersja RATa na macOS) obserwowanego w ich poprzednich atakach. Znaczenie miała także infrastruktura atakujących zbieżna z tą widzianą w przeszłości i wiązaną z tą właśnie grupą. UNC1069 wcześniej kojarzyło się przede wszystkim z atakami opartymi na socjotechnice, których ofiarami byli m.in. developerzy poszukujący pracy w sektorze Web3. Jednym ze scenariuszy była fałszywa rozmowa o pracę realizowana na stronie podszywającej się pod Zoom. Podczas niej pojawiały się pozorowane problemy techniczne, a ofiara była nakłaniania komunikatem w motywie ClickFix do wykonania (złośliwej) komendy, co miałoby skutkować naprawianiem błędu uniemożliwiającego rozmowę. Zwykle atak skutkował dostarczeniem oprogramowania kradnącego dane, szczególnie skoncentrowanego na kradzieży kryptowalut. Konsekwencje kradzieży dotyczyły przede wszystkim ofiary personalnie. W innych kampaniach celami były także firmy typu FinTech, związane z blockchain lub giełdami kryptowalut. Obserwowane przesunięcie działań w kierunku aktywności o znacznie większej skali, choć potencjalnie nadal inicjowanych z pomocą socjotechniki i wyłudzenia poświadczeń osoby utrzymującej bibliotekę, wskazuje na rozwój grupy i większe zagrożenie dla dużych organizacji z każdego sektora. 

Ataki na łańcuch dostaw wymagają wielopoziomowej analizy i reakcji. Zalecany jest hunting z uwzględnieniem weryfikacji zainstalowanych wersji biblioteki oraz potwierdzenie, czy zaobserwowano udaną komunikację do C2 (która odbywała się z wykorzystaniem adresu URL hxxp://sfrclak[.]com:8000/6202033, gdzie 6202033 jest identyfikatorem kampanii). W zależności od dojrzałości organizacji i pokrycia monitoringiem stacji roboczych, widoczność może się różnić, szczególnie gdy mowa o środowiskach deweloperskich. Należy wziąć pod uwagę zarówno zasoby chmurowe, kontenery, jak i środowiska testowe, w których mogła znaleźć się zainfekowana paczka. W przypadku stwierdzenia infekcji należy zabezpieczyć wszystkie poświadczenia powiązane ze skompromitowanymi systemami lub workflowami w GitHub (restarty haseł, rotacja kluczy), dokonać reinstalacji zainfekowanych stacji i odtworzyć środowiska z wykorzystaniem bezpiecznych wersji paczek. Niedostateczna analiza i reakcja w przypadku takich incydentów może skutkować wykorzystaniem skradzionych w ramach nich poświadczeń do późniejszych ataków. Choć zapobieganie atakom na łańcuch dostaw nie jest łatwe, to coraz częściej zaleca się proste metody zmniejszające szansę na uzyskanie dostępu do naszej infrastruktury przez atakujących. Jedną z nich jest ustalenie warunku minimalnego czasu od publikacji nowej wersji biblioteki (na przykład 7 dni), który zapobiegnie przedwczesnemu pobraniu potencjalnie złośliwych paczek. Jeżeli to możliwe, paczki powinny być także skanowane pod kątem zawartości złośliwego kodu oraz podatności i udostępniane na wewnętrznych zasobach do pobrania jedynie po pozytywnym przejściu weryfikacji. 

Więcej informacji: 
https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package 
https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/ 
https://www.elastic.co/security-labs/axios-one-rat-to-rule-them-all 
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan 

Telco

Telekomy pod obserwacją. Wykorzystanie BPFdoor w sieciach operatorów.

Red Menshen, aktor powiązany z Chinami, od dłuższego czasu buduje trwałą obecność w sieciach telekomunikacyjnych na całym świecie, traktując je jako środowisko o znaczeniu strategicznym. Nie jest to działalność nastawiona na szybki efekt czy jednorazową eksfiltrację danych. W tych działaniach używane jest określenie Sleeper Cell jako uśpionego przyczółka, który nie prowadzi widocznej komunikacji i nie generuje typowych artefaktów sieciowych. Taki dostęp pozostaje bierny do momentu otrzymania odpowiednio przygotowanego pakietu aktywacyjnego (magic packet), co znacząco utrudnia jego wykrycie i pozwala utrzymać obecność w środowisku przez długi czas. 

Telekomy stanowią dla takiego modelu operacyjnego atrakcyjny cel, ponieważ przechodzą tu procesy uwierzytelniania, sygnalizacja, roaming oraz mechanizmy legalnego przechwytywania informacji, wykorzystywane również przez sieci rządowe. Jest to infrastruktura, która nie tylko transportuje dane, ale również odzwierciedla relacje między użytkownikami, urządzeniami i systemami. Dostęp do tej warstwy oznacza możliwość obserwacji metadanych komunikacji, procesów tożsamościowych oraz zależności operacyjnych, które w wielu przypadkach mają znaczenie wykraczające poza pojedynczą organizację. 

Kluczowym elementem aktywności Red Menshen jest BPFdoor — backdoor dla systemów Linux działający na poziomie jądra. Jego konstrukcja odbiega od klasycznych implantów. Nie wystawia otwartych portów, nie utrzymuje widocznego kanału C2 i nie pozostawia oczywistych śladów w warstwie użytkownika. Zamiast tego wykorzystuje mechanizm Berkeley Packet Filter do pasywnej analizy ruchu sieciowego bezpośrednio w kernelu. Aktywacja następuje wyłącznie po odebraniu odpowiednio przygotowanego pakietu. Operacja opiera się na współdziałaniu implantu i komponentu kontrolującego, który odpowiada za generowanie pakietów aktywacyjnych oraz obsługę komunikacji po uzyskaniu dostępu. Co istotne, kontroler może funkcjonować zarówno poza środowiskiem ofiary, jak i wewnątrz niego, co zwiększa elastyczność operacyjną i utrudnia detekcję. 

Uzyskanie początkowego dostępu zwykle odbywa się poza rdzeniem sieci. Wskazywane są przede wszystkim urządzenia brzegowe i systemy wystawione do Internetu, w tym rozwiązania VPN, urządzenia Palo Alto, Cisco IOS i JunOS, firewalle Fortinet oraz środowiska VMware ESXi. Po uzyskaniu przyczółka wykorzystywane są narzędzia takie jak CrossC2, TinyShell, techniki brute-force SSH oraz keyloggery. W analizowanych przypadkach pojawiają się również słowniki poświadczeń dopasowane do środowisk telekomunikacyjnych, co wskazuje na wcześniejsze rozpoznanie i świadome targetowanie sektora. 

Na szczególną uwagę zasługuje wykorzystanie protokołu SCTP. Nie jest to typowy ruch obserwowany w środowiskach enterprise — protokół ten stanowi podstawę sygnalizacji w sieciach PSTN oraz komunikacji między elementami rdzenia 4G i 5G. Obecność implantu filtrującego SCTP oznacza, że atakujący znajduje się bardzo blisko warstwy sygnalizacyjnej. W praktyce może to umożliwiać dostęp do metadanych komunikacji, identyfikatorów IMSI oraz procesów związanych z mobilnością i uwierzytelnianiem urządzeń. W środowiskach 5G dochodzi również kontekst identyfikatorów SUCI i procedur rejestracyjnych. 

Raport Rapid7 wskazuje także na zaawansowane techniki kamuflażu. Jedna z obserwowanych próbek podszywa się pod komponenty zarządzania sprzętem charakterystyczne dla serwerów HPE ProLiant, imitując zachowanie legalnych procesów systemowych, a inna dostosowuje się do środowisk kontenerowych. W praktyce oznacza to próbę ukrycia się nie tylko w systemie operacyjnym, ale również w warstwie sprzętowej i platformowej, szczególnie w kontekście architektury 5G opartej na natywnych rozwiązaniach chmurowych. 

Nowsze warianty BPFdoor rozwijają także mechanizmy aktywacji i komunikacji. Oprócz klasycznego modelu opartego na pakiecie aktywacyjnym pojawia się możliwość wykorzystania ruchu przypominającego legalne zapytania HTTPS do wyzwolenia implantu, co znacząco utrudnia jego odróżnienie od standardowej komunikacji aplikacyjnej. Gdy ruch sieciowy dotrze do zainfekowanego hosta i zostanie odszyfrowany w ramach standardowego zakończenia połączenia SSL, ukryta sekwencja poleceń może zostać wyodrębniona i wykorzystana do aktywacji backdoora. 

Kolejną nową opisywaną techniką przez Rapid7 jest „magic ruler”, która pozwala utrzymać spójność danych aktywacyjnych poprzez stały offset, nawet jeśli ruch przechodzi przez urządzenia pośredniczące, takie jak proxy czy load balancery. Po aktywacji komunikacja może być dodatkowo zabezpieczona przy użyciu RC4-MD5 ze względu na fakt, że RC4 zapewnia niezwykle szybkie szyfrowanie strumienia danych, powodując minimalne opóźnienia podczas wykonywania poleceń. W wybranych scenariuszach wykorzystywany jest również ICMP jako kanał sterowania między hostami. Głównym elementem tego mechanizmu jest wartość 0xFFFFFFFF oznaczona jako -1, która pełni rolę sygnału docelowego osadzonego w strukturze pakietu. Gdy host odbierający wykryje tę wartość, interpretuje pakiet jako polecenie końcowe, a nie jako dane przeznaczone do dalszego przekazania. 

BPFdoor nie pozostawia typowych śladów w warstwie procesów czy połączeń sieciowych, dlatego kluczowe staje się monitorowanie zachowania na poziomie jądra systemu, analiza nietypowych filtrów pakietów oraz identyfikacja anomalii w wykorzystaniu protokołów takich jak SCTP. Istotne jest również traktowanie urządzeń brzegowych jako potencjalnych punktów trwałego utrzymania dostępu, które mogą stanowić zaplecze dla dalszych działań w sieci. Dodatkowo Rapid7 udostępnił skrypt, który skupia się na zidentyfikowaniu wskaźników związanych z mechanizmem ukrytej aktywacji, działaniem filtrowania pakietów na poziomie jądra oraz technikami maskowania procesów stosowanymi przez implanty BPFdoor. 

W szerszym ujęciu BPFdoor nie jest jedynie kolejnym przykładem zaawansowanego malware. To narzędzie zaprojektowane do budowania cichej, długotrwałej obecności w środowisku, w którym dostęp do danych tożsamości klientów, sygnalizacji i metadanych może mieć znaczenie strategiczne, wykraczające daleko poza pojedynczy incydent bezpieczeństwa. 

Więcej informacji: 
https://www.rapid7.com/blog/post/tr-bpfdoor-telecom-networks-sleeper-cells-threat-research-report/ 
https://github.com/rapid7/Rapid7-Labs/blob/main/BPFDoor/README.md 
 

Zaawansowane zagrożenia

Renesans DNS Hijacking: Kampania APT28 przeciwko infrastrukturze brzegowej.

Współczesne postrzeganie zaawansowanych cyberataków skupia się na wykorzystywaniu wyrafinowanych eksploitów, czy podatnościach typu zero-day w systemach operacyjnych, tymczasem ujawnione ostatnio operacje grupy APT28 (Forest Blizzard) rzucają światło na powrót do technik fundamentalnych, lecz wyjątkowo skutecznych. Analiza działań rosyjskiego wywiadu wojskowego (GRU) ujawnia precyzyjnie zaplanowaną kampanię DNS Hijacking, która została skutecznie przerwana dzięki skoordynowanej akcji służb. W operacji uczestniczyła również polska Służba Kontrwywiadu Wojskowego (SKW), działająca we współpracy z partnerami takimi jak NSA i FBI. Zaangażowanie wielu służb państwowych pokazuje praktyczny wymiar międzynarodowej współpracy w obszarze cyberbezpieczeństwa. Wspólne działania obejmowały identyfikację oraz neutralizację infrastruktury przejętych routerów SOHO (Small Office/Home Office) wykorzystywanych przez jednostkę 26165 (APT28). 

Samo sięgnięcie po ten wektor ataku nie jest dziełem przypadku, lecz świadomym wyborem metody, która pozwala na masową infiltrację przy jednoczesnym zachowaniu wysokiego stopnia dyskrecji. Długość trwania tej kampanii, liczonej w latach, świadczy o cierpliwości napastnika oraz o doskonałym przygotowaniu infrastruktury serwerowej, opartej na dzierżawionych serwerach VPS, które przez długi czas maskowały złośliwy ruch pod pozorem rutynowych zapytań sieciowych. 

Kluczowym elementem strategii APT28 stało się postrzeganie urządzeń klasy SOHO nie jako celów końcowych, lecz jako idealnych punktów wejścia do głębiej osadzonych sieci. Routery domowe i małe urządzenia biurowe stanowią obecnie „miękkie podbrzusze” globalnej architektury IT, głównie ze względu na brak zaawansowanych mechanizmów monitoringu oraz rzadkie zaglądanie przez administratorów w ich konfigurację i aktualizacje firmware. Istotnym elementem operacji było wykorzystanie znanych podatności w routerach (np. dla TP-Link było to CVE-2023-50224) umożliwiających pozyskanie danych logowania i zmianę konfiguracji bez uwierzytelnienia, co pozwalało na pełne przejęcie kontroli nad urządzeniem i jego ustawieniami sieciowymi.  W ten sposób router, zamiast pełnić rolę bezpiecznej bramy, stał się aktywnym narzędziem ataku, które wymusza na wszystkich podłączonych do niego urządzeniach – laptopach służbowych, telefonach czy tabletach – korzystanie ze złośliwych serwerów DNS kontrolowanych przez GRU. 

Zgodnie z raportem NCSC, operacje te opierały się na wykorzystaniu dwóch precyzyjnie rozdzielonych klastrów infrastruktury. Pierwszy klaster koncentrował się na masowym przejmowaniu routerów i modyfikacji ich ustawień tak, aby zapytania dotyczące domen krytycznych, takich jak Outlook czy Office 365, były rozwiązywane przez złośliwe serwery kontrolowane przez grupę APT. Pozwalało to na przeprowadzenie ataków typu Adversary-in-the-Middle (AitM), skutkujących kradzieżą haseł i tokenów OAuth, co bezpośrednio uderzało w zaufanie do sesji chmurowych. Drugi klaster charakteryzował się wyższym stopniem specjalizacji, wykorzystując urządzenia MikroTik i TP-Link (często zlokalizowane na Ukrainie) jako węzły proxy. Ta warstwowa struktura obnaża słabość w monitoringu ruchu wychodzącego – większość systemów bezpieczeństwa nie analizuje zapytań DNS pod kątem anomalii w ścieżkach routingu, co pozwalało APT28 na utrzymanie długotrwałej obecności w sieciach ofiar. 

Sama technika DNS Hijacking, choć uznawana za metodę „klasyczną”, w rękach APT28 zyskała nową skuteczność poprzez celowe wykorzystanie słabości w architekturze sieciowej. Pierwszą z nich jest brak izolacji interfejsów zarządzania w routerach SOHO, które pozostają wystawione do sieci publicznej. Drugą stanowi bezkrytyczne zaufanie urządzeń końcowych do ustawień sieciowych serwowanych przez lokalne serwery DHCP. Wreszcie, kluczową słabością pozostaje brak powszechnego wdrożenia szyfrowanych protokołów DNS (DNS-over-HTTPS/DNS-over-TLS) na poziomie systemów operacyjnych, co pozwoliłoby zignorować złośliwe ustawienia narzucone przez przejęty router. APT28 wykorzystało te luki, stosując model lejka wywiadowczego: od masowej eksploatacji tysięcy urządzeń, po precyzyjną filtrację ofiar o wysokiej wartości strategicznej, takich jak podmioty dyplomatyczne czy logistyczne. 

Kampania ta dowiodła, że granica między siecią domową a korporacyjną w 2026 roku praktycznie nie istnieje. Zapomniana technika DNS Hijacking, w połączeniu z masową eksploatacją routerów SOHO, stała się skutecznym sposobem na ominięcie nowoczesnych zabezpieczeń obwodowych.  Organizacje nie mogą już zakładać, że sieć, z której korzysta pracownik, jest bezpieczna. Zamiast tego powinny wdrożyć model Zero Trust, w którym bezpieczeństwo sesji i zapytań DNS jest weryfikowane bezpośrednio na urządzeniu użytkownika – niezależnie od tego, gdzie się znajduje. 

Raport wskazuje, że skutki takich działań mogą obejmować kradzież poświadczeń, przejęcie kont, manipulację danymi oraz dalszą kompromitację organizacji. Podkreślono również, że same wskaźniki kompromitacji mogą szybko się zmieniać, dlatego kluczowe znaczenie ma wykrywanie zachowań charakterystycznych dla DNS hijackingu i ataków typu AitM, a nie wyłącznie blokowanie konkretnych adresów czy domen.  

W części dotyczącej obrony zaleca się m.in. zabezpieczenie interfejsów zarządzania urządzeniami, regularne aktualizacje oprogramowania, stosowanie monitoringu bezpieczeństwa oraz wdrażanie mechanizmów takich jak MFA. Szczególny nacisk położono na ograniczenie ekspozycji urządzeń sieciowych na internet oraz poprawę widoczności zdarzeń w sieci, co pozwala szybciej wykrywać i analizować tego typu incydenty. 

Więcej informacji:  

1. Alert Number: I-040726-PSA Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Information https://www.ic3.gov/PSA/2026/PSA260407 
2. NCSC Advisory: APT28 exploit routers to enable DNS hijacking operations https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations 
3. Justice Department Conducts Court-Authorized Disruption of DNS Hijacking Network Controlled by a Russian Military Intelligence Unit https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-dns-hijacking-network-controlled 
4. SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/ 

The post Krajobraz Zagrożeń 26/03-08/04/2026 appeared first on CERT Orange.

Złośliwe oprogramowanie znane jako Formbook funkcjonuje w sieci niemal od dekady! Pierwsze informacje na jego temat na naszych łamach pojawiły się w 2019 roku oraz w naszym raporcie za 2018 rok. Przez te lata złośliwy kod był oczywiście wielokrotnie zmieniany, jednak jego zadanie wciąż pozostaje takie samo. To jeden z popularniejszych infostealerów, czyli programów wykradających dane z zainfekowanego komputera. Działając w tle, bez wiedzy ofiary, zbiera wrażliwe informacje takie jak m.in.:

• loginy i hasła zapisane w przeglądarkach
• dane autouzupełnienia (np. adresy mailowe, numery kart)
• zrzuty ekranu i klawiatury (tzw. keylogging)

Formbook to narzędzie wyspecjalizowane w kradzieży informacji, dotyczących systemów bankowości elektronicznej. A ponieważ potrafi podkładać („wstrzykiwać”) własne niewidoczne ramki, może podszyć się pod najpopularniejsze polskie banki tak wiarygodnie, byśmy wpisali również kody potwierdzające z wiadomości SMS. I oddali oszustom pełny dostęp do naszego konta.

Jak wygląda atak?

By efektywnie zmylić ofiarę, mail zawierający załącznik ze złośliwym kodem musi przypominać oficjalną korespondencję. W tym przypadku oszuści starali się podszyć pod wiadomość od Orange Polska, jednak w kilku przypadkach od razu widać niezgodność. W naszych fakturach podajemy np. pełny numer klienta oraz jego imię i nazwisko lub dane firmy.

Uwagę powinien zwrócić również adres nadawcy, w którym faktycznie widnieje nazwa Orange, ale pod nią ukryty jest adres arya@tastepicks.com. Co ciekawe – linki w mailu faktycznie prowadzą do aplikacji Mój Orange oraz do strony kontaktowej naszej firmy. W naszej opinii – sprawca chciał się w ten sposób jeszcze bardziej uwiarygodnić. Kluczem jest bowiem załącznik.

Malware schowany w archiwum

Załącznik to archiwum ZIP. Oszuści pakują pliki z malware’em, by utrudnić systemom antywirusowym rozpoznanie złośliwego kodu we wczesnym stadium. W tym samym celu często również je szyfrują (wtedy antywirus nie sprawdzi „w locie” zawartości archiwum, podając hasło w treści maila. Tym razem jednak plik nie był zaszyfrowany. Ikona wypakowanego załącznika wskazywałaby na to, że mamy do czynienia z PDF-em, jednak to nieprawda. Faktyczna końcówka nazwy pliku to ·pdf.bat. Po jego kliknięciu uruchamiany jest skrypt, który:

• ściąga pierwszy złośliwy plik, który:
• uruchamia proces, pobierający następny złośliwy plik
• pobrane dane są deszyfrowane na Twoim komputerze
• w Twoim systemie uruchamia się Formbook

Od tego momentu jakakolwiek transakcja finansowa na zainfekowanym komputerze to niemal stuprocentowa pewność, że dane dotyczące Twojego konta wpadną w ręce złodziei. Nie bez przyczyny Formbook, czy też jego nowa, bardziej modularna wersja – XLoader – wysyłane są w formie fałszywych faktur, głównie do firm. I dlatego tak ważna jest ostrożność i uwaga:

• sprawdzaj dokładnie nadawcę maila (arya@tastepicks.com to nie Orange)
• upewnij się, czy poprzednie maile od tego nadawcy wyglądały tak samo (maile od Orange mają nazwę klienta i jego pełny numer)
• zastanów się, czy faktura dla Twojej firmy nie powinna znaleźć się w KSeF
• nie klikaj odruchowo wszystkiego co dostaniesz (!!!)
• jeśli dostajesz niespodziewanie zaszyfrowanego ZIP-a – to nie „czerwona flaga”, to ukryty malware!

A najlepiej zachować się tak, jak w przypadku opisywanej firmy, której pracownik zamiast otwierać dziwnego maila, przysłał go nas. Gratulujemy czujności i polecamy się! Jeśli Tobie zdarzy się trafić na podejrzaną treść, ostrzeż innych internautów! Wejdź na naszą stronę i wciśnij przycisk „Zgłoś zagrożenie”.

My natomiast dbamy o to, by witryny docelowe blokowała CyberTarcza Orange.

Szczegóły plików i IoC

guloader: ./FAKTURA-P-261015-2794545112-00007204·pdf.bat
sha256: 2755b455dd4d65bfb644caec9a917f6dd51ca022832fd0a9351bd7aaa1034ca2

Stage 2: drive.google[.]com/uc?export=download&id=1H9kANgEA7nQ1JvB3pTuT4WO9qHXcDULm
sha256: 8c821d6da9295f4977df0b0d1b503972d7078d8da80ffc97004a5a4a56746b96

Final stage: drive.google[.]com/uc?export=download&id=1H9kANgEA7nQ1JvB3pTuT4WO9qHXcDULm
sha256: c7fd6da98b258768a62b22f043e19b35b741e333acb4df92b532dd9ed598a42f

Formbook config:
www.3701157[.]xyz
www.dusakabinsilikonu[.]com
www.rightnova[.]site
www.beyazmeramdis[.]com
www.nrarch[.]com
www.hitaohao[.]com
www.novo-immobilien[.]ch
www.reliablepicksbay[.]shop
www.tixcredit[.]com
www.kairoscon.com[.]br
www.pvpticaret[.]xyz
www.distribucionesmary[.]com
www.lytostech[.]online
www.hamertondonkeystud[.]com
www.apteekkaripaivat[.]com
www.fancke[.]xyz

Analiza malware Arkadiusz Bazak (CERT Orange Polska)

The post E-mail z fałszywą fakturą od Orange – sprawdź, co wykrada wirus Formbook appeared first on CERT Orange.

Scenariusz jest taki sam jak w przypadkach opisywanych już wielokrotnie na naszych łamach. Ofiara otrzymuje SMS z prośbą o weryfikację numeru, by uniknąć rzekomej blokady karty SIM. Kliknięcie w link przekierowuje do witryny pośredniczącej, a ta – na losową domenę z puli oszustów. O podobnym scenariuszu oszustwa pisaliśmy już w sierpniu ub.r.

SMSy, które zaobserwowaliśmy miały następującą treść:

Szanowny uzytkowniku, zweryfikuj swoj numer telefonu, aby uniknac blokady karty https:/t.co/fac1uR0Bh

Drogi kliencie, Twoja karta SIM wymaga aktualizacji. Prosimy o natychmiastowe zaktualizowanie: https://t.co/YReNeaBz4g

Kolejny krok to wyłudzenie danych logowania do konta Mój Orange. Obejmują one login i hasło a także SMS z kodem weryfikacyjnym. Wszystkie etapy odbywają się na stronie wykorzystującej logotypy i styl kolorystyczny serwisów Orange Polska.

Jak nie dać się oszukać? Na urządzeniu mobilnym korzystaj wyłącznie z aplikacji Mój Orange. Zawsze, gdy wprowadzasz gdziekolwiek dane logowania, zweryfikuj domenę.

Jeśli padłeś ofiarą tego oszustwa, natychmiast poinformuj Biuro Obsługi Klienta pod numerem 510 100 100.

The post Twoja karta SIM wymaga aktualizacji – to oszustwo! appeared first on CERT Orange.

Informację o opisywanej kampanii uzyskaliśmy od naszego Czytelnika. Jeśli trafiłaś/eś na podejrzaną treść i ostrzec innych internautów – wejdź na naszą stronę i wciśnij przycisk „Zgłoś zagrożenie”.

Nadawcą e-mail jest użytkownik „Spostrzeżenia finansowe”, piszący spod adresu somamonfd@gmail.com. W wiadomości z pozoru wyglądającej jak artykuł z witryny Polsatnews.pl widzimy wizerunek Sławomira Mentzena, ujawniającego „narzędzie, które może diametralnie zmienić sytuację finansową Polaków”.

Kliknięcie w zawarty w mailu link przekierowuje nas poprzez skracarkę (to popularny sposób na ukrycie witryny docelowej) na stronę goldira[.]wiki (domena zarejestrowana 1 maja 2025 na rok, więc niebawem wygasa; dane właściciela ukryte). Widzimy na niej stylizowany konsekwentnie na Polsat News rzekomy wywiad Sławomira Mentzena z „reporterem Bartoszem”.

Już sam fakt użycia przez „dziennikarza” samego imienia powinien zapalić nam w głowie czerwoną lampkę. Nie spotkaliśmy się jeszcze z medium, które publikując wywiady ukrywałoby nazwiska reporterów, a na pewno nie robi tak Polsat.

Co znajdziemy na końcu „rozmowy”?

Tradycyjny w tego typu oszustwach wyraźnie oznaczony przycisk, mając pozwolić nam uzyskać natychmiast dostęp do „kluczowej dla naszej przyszłości wiedzy”.

Czy narzędzie Sławomira Mentzena to AI Trading?

Oczywiście nie, bowiem wizerunek posła został wykorzystany wyłącznie do przyciągnięcia uwagi potencjalnych ofiar. Tym niemniej po kliknięciu w sugestię uzyskania natychmiastowego dostępu trafiamy w miejsce, gdzie sztuczna inteligencja ma nam pomóc w inwestowaniu:

Jednak powyższa witryna to kopia funkcjonującego w internecie od 2022 serwisu z identyczną szatą graficzną i – co ciekawe – z danymi właściciela ukrytymi przez tę samą firmę co domena oszustów.

W kolejnym kroku jesteśmy proszeni o podanie naszych danych:

by ostatecznie okazało się, że nie możemy się zarejestrować.

Dlaczego nie działa? Być może oszuści dopiero uruchomili kopię giełdy? Możliwe jest także, że po prostu zbierają dane potencjalnych ofiar, które wykorzystają w kolejnych atakach.

Nie daj się oszukać! Nie wierz internetowym reklamom okraszonym wizerunkami polityków, aktorów, czy celebrytów. Jeśli chcesz inwestować – poszukaj sprawdzonych serwisów, czy biur maklerskich. Prędzej czy później taka reklama może trafić na Ciebie! Wg. najnowszego Raportu CERT Orange Polska fałszywe inwestycje stanowiły w 2025 roku 2/3 zablokowanych przez CyberTarczę zagrożeń!

The post Phishingowy mail o fałszywych inwestycjach rzekomo firmowanych przez Sławomira Mentzena appeared first on CERT Orange.

O tych aktywnie wykorzystywanych exploit kitach napisaliśmy w opublikowanym w marcu Krajobrazie Zagrożeń. Tutaj znajdziecie opis ich działania skupiony na stronie technicznej.

Decyzja o rozszerzeniu dostępności aktualizacji wynika ze specyfiki DarkSword i Coruna. Dla przypomnienia: umożliwiają one zainfekowanie urządzenia bez aktywności ze strony użytkownika. Wystarczy, że odwiedzi on stronę WWW, zawierającą opisywany zestaw exploitów. W kolejnych krokach atak prowadzi do instalacji backdoorów, następnie zaś łupem złodziei padają dane ofiar.

Początkowo (24 marca 2026) aktualizacja była dostępna tylko dla starszych modeli:

• iPhone XS, XS Max, XR
• iPad 7. generacji

Od 1 kwietnia 2026 aktualizacja jest rozszerzona również dla nowszych modeli:

• iPhone 11, 12, 13, 14, 15, 16 (wszystkie modele) + iPhone SE (2. i 3. gen)
• szeroka gama iPadów (mini, Air, Pro – w tym nowsze generacje z układami M2–M4)

To oznacza, że wcześniejszej poprawce, która nie obejmowała wymienionych urządzeń nadal występowała luka.

Nietypowe w tym przypadku jest to, że Apple umożliwia instalację krytycznych poprawek bezpieczeństwa bez konieczności aktualizacji do najnowszego systemu (iOS 26). Pozwala to na instalację poprawek nawet na starszych, urządzeniach, które nie wspierają już najnowszego systemu operacyjnego od Apple.

Jak ustrzec się przed Darksword?

Aby zainstalować aktualizację, na urządzeniu z systemem iOS należy otworzyć ustawienia>ogólne>Uaktualnienia>Uaktualnij teraz. W niektórych przypadkach może być wymagane podłączenie urządzenia do ładowarki na czas instalacji.

Aktualizacje to często proces odkładany na później. Nadchodzące święta to idealny moment aby zaktualizować urządzenia swoje i całej rodziny – nie tylko te od Apple.

Źródło: thehackernews.com/2026/04/apple-expands-ios-1877-update-to-more.html

The post Apple rozszerza aktualizację do iOS 18.7.7 na kolejne urządzenia z powodu rosnącego zagrożenia DarkSword appeared first on CERT Orange.

Czym jest Hasło Alert? To dostępna na stronach CERT Orange Polska (pod adresem https://cert.orange.pl/hasloalert) usługa pozwalająca sprawdzić, czy Twoje hasło trafiło w niepowołana ręce. Co odróżnia nas od innych tego typu serwisów?

• koncentrujemy się na danych, dotyczących polskich internautów
• nasza baza zawiera dane z olbrzymiej liczby wycieków; nie tylko tych spektakularnych, o których chętnie piszą media, ale również tych małych, które próbują przejść bez echa – ale nie z nami te numery!

W efekcie Hasło Alert obejmuje znacząco szerszy profil wycieków niż przykładowo rządowy serwis Bezpieczne Dane. Ten drugi pozwala też na jednorazowe sprawdzenie, czy w niepowołane ręce nie trafił nasz PESEL.

Jak najlepiej korzystać z Hasło Alert?

Hasło Alert to pierwszy i obecnie jedyny tak rozbudowany serwis w Polsce skoncentrowany na wyciekach haseł polskich internautów i pozwalający Ci uzyskać informację natychmiast, gdy Twoje hasło pojawi się w nowej, udostępnionej przez oszustów bazie. Jak z niego skorzystać?

Na stronie https://cert.orange.pl/hasloalert/ możesz sprawdzić jednorazowo czy Twoje hasło nie trafiło do któregoś z wycieków z naszej bazy. Najlepiej jednak dołączyć do grona przeszło 40 tysięcy internautów, którzy wybrali subskrypcję i dowiedzą się o problemie od razu, gdy nasze systemy zidentyfikują kolejny z wielu wycieków. Możesz to zrobić również bezpośrednio z aplikacji Mój Orange – Hasło Alert znajdziesz w Centrum Bezpieczeństwa.

A co zrobić, gdy Twoje hasło już wyciekło? Przeczytaj nasz poradnik.

Powstanie części komponentów usługi Hasło Alert zostało dofinansowane ze środków Komisji Europejskiej w ramach udziału Orange Polska w europejskim projekcie ThreatChase – an Open Platform for Protection against Phishing (projekt nr 101128042) uruchomionym z Programu Digital Europe – DIGITAL-ECCC-2022-CYBER-03

The post 40 tysięcy subskrybentów Hasło Alert! appeared first on CERT Orange.