CyberCafe - Aktualności Cyberbezpieczeństwa

Grupa zagrożeń znana jako Silver Fox została zauważona realizująca operację fałszywej flagi mającą na celu podszywanie się pod rosyjską grupę zagrożeń w atakach skierowanych na organizacje w Chinach. Kampania trucizny seo (SEO) wykorzystuje przynęty firmy Microsoft Teams, aby oszukać nieświadomych użytkowników i zainstalować złośliwe oprogramowanie ValleyRAT (Winos 4.0), powiązane z chińską grupą cyberprzestępczą.

W atakach phishingowych używane są powiadomienia przeglądarki do rozpowszechniania złośliwych linków przez nową platformę Matrix Push C2. Atak polega na nakłonieniu potencjalnych celów do zezwolenia na powiadomienia przez techniki inżynierii społecznej na stronach złośliwych lub kompromitowanych. Artykułszczegółowo opisuje sposób działania narzędzia oraz jego rozpowszechnianie i wykorzystywanie w cyberprzestępczości.

Nowa platforma Matrix Push C2 wykorzystuje powiadomienia przeglądarki do ataków phishingowych, omijając tradycyjne zabezpieczenia. Zestaw narzędzi jest oferowany jako MaaS przez modele subskrypcji, a jego celem jest kradzież danych i monetyzacja dostępu.

ZDNET zbiera ogromne ilości danych z różnych źródeł, aby rekomendować najwyższej jakości produkty. Redakcja dba o precyzję informacji, oferując czytelnikom rzetelne porady dotyczące zakupów sprzętu technologicznego i innych produktów. Nagrodzeni w 2025 roku producenci koncentrują się na nowatorskich rozwiązaniach, od telefonów po sprzęt domowy, oferując użytkownikom wysoką jakość i funkcjonalność.

ZDNET's Best of 2025 to coroczne nagrody przyznawane najwydajniejszym gadżetom i wynalazkom roku, od 100-calowych telewizorów po inteligentne pierścienie i chatboty oparte na sztucznej inteligencji. Wśród wygranych znajdują się nowoczesne urządzenia, które przeszły testy rzeczywistych zastosowań, oferując innowacyjne rozwiązania w branży technologii. Nie zabrakło także wyróżnienia dla narzędzi wspierających profesjonalne procesy, jak generatywna sztuczna inteligencja czy nowoczesne urządzenia do czyszczenia. Rok 2025 przynosi nowe standardy w dziedzinie ochrony prywatności, innowacyjnych produktów dla domu inteligentnego oraz rozwiązań poprawiających wydajność i wszechstronność urządzeń mobilnych. Jest to zbiór inspirujących technologicznych rozwiązań, które zmieniają sposób korzystania z nowoczesnych gadżetów i usług.

Google wykorzystuje treści e-maili użytkowników do trenowania swoich narzędzi AI bez ich zgody. Użytkownicy Gmaila mogą nie być świadomi automatycznego włączenia funkcji analizy ich danych. Propozycja pozwu zbiorowego została złożona w związku z zarzutami naruszenia prywatności.

Artykuł informuje o nowej praktyce Google, polegającej na wykorzystywaniu prywatnych e-maili użytkowników do szkolenia sztucznej inteligencji. Bez zgody użytkowników firma może analizować treści w celu doskonalenia swoich narzędzi AI, co może rodzić wątpliwości etyczne i prawne.

Cyberprzestępcy wykorzystują nowo odkrytą platformę Matrix Push C2 do dostarczania złośliwego oprogramowania poprzez fałszywe powiadomienia w przeglądarkach internetowych. Platforma ta umożliwia monitorowanie zainfekowanych klientów w czasie rzeczywistym i skanowanie portfeli kryptowalutowych. Atak opisany jest jako 'bezplikowy' ze względu na wykorzystanie systemu powiadomień przeglądarki, co eliminuje potrzebę tradycyjnego pliku z złośliwym oprogramowaniem na początku. Aby przeciwdziałać tej groźbie, zaleca się stosowanie technologii ADX, skupionej na blokowaniu ruchu wychodzącego.

APT24, znany także jako Pitty Tiger, wykorzystuje nowe złośliwe oprogramowanie o nazwie BADAUDIO w trwającym od lat szpiegowskim ataku na Tajwan oraz sektory rządowe, opieki zdrowotnej, budowlane, inżynieryjne, górnicze, pozarządowe i telekomunikacyjne. Grupa stosuje zaawansowane techniki, w tym kompromitację zaopatrzenia, tarcia zaopatrzeniowe i hakerstwo celowane, demonstrując zdolność do wydobywania danych i adaptacyjnego szpiegostwa.

Grupa groźna APT24, znana z Chin, używa wcześniej nieudokumentowanego malware'a o nazwie BADAUDIO, aby uzyskać stały zdalny dostęp do skompromitowanych sieci w ramach blisko trzy letniej kampanii. Atakują organizacje na Tajwanie, wykorzystując zaawansowane wektory, takie jak ataki phishingowe czy kompromitacje dostaw łańcucha, co stanowi poważne zagrożenie dla cyberbezpieczeństwa. Kampania BADAUDIO trwa od listopada 2022 roku, a atakujący wykorzystują skomplikowane techniki ochrony, takie jak blokowanie odwrotnego inżynierowania, aby zwiększyć skuteczność zainfekowania systemów ofiar.

Analiza ataków APT grupy ToddyCat na korespondencję korporacyjną oraz ewolucja narzędzi takich jak TomBerBil, TCSectorCopy i XstReader. Metody zdobywania tokenów dostępu do Outlooka oraz zalecenia dotyczące monitorowania i wykrywania działań przestępczych.

Analiza Sophos wskazuje na działającą kampanię rozprzestrzeniania złośliwego oprogramowania, która skierowana jest na użytkowników WhatsApp w Brazylii. Ataki polegają na wysyłaniu wirusów poprzez pliki archiwalne, które pobierają skrypty drugiego etapu, w tym instalujących trojana bankowego Astaroth. Kampania obejmowała ponad 250 klientów, głównie w Brazylii. Zaleca się edukowanie pracowników na temat ryzyka związanego z otwieraniem załączników przesłanych za pośrednictwem platform społecznościowych oraz komunikatorów internetowych.

Atak ShadowRay 2.0 wykorzystuje starą lukę w oprogramowaniu sztucznej inteligencji Ray do stworzenia samo-rozszerzającego się botnetu kryptowalut. Kampania obejmuje wysyłanie złośliwych poleceń, wykorzystanie GitLaba i GitHuba do dostarczania malware'u oraz taktyki maskujące działania w celu uniknięcia wykrycia.

Atak ShadowRay 2.0 to rozwinięcie poprzedniej fali ataków, które wykorzystują dwuletnią lukę w oprogramowaniu Ray do tworzenia botnetu do kopania kryptowalut. Atak polega na wykorzystaniu braku autoryzacji do zainfekowania klastrów z GPU i używania ich mocy obliczeniowej do nielegalnego kopania kryptowalut. Do zainfekowania klastrów służy atak na niewłaściwie zabezpieczone instancje i rozprzestrzenianie złośliwego oprogramowania między dashboardami. Cyberprzestępcy wykorzystują różne taktyki, takie jak wykorzystanie GitLab i GitHub do dostarczania złośliwego oprogramowania oraz maskowanie procesów na serwerach Ray jako legalne usługi jądra Linux, aby uniknąć wykrycia.

Botnet Tsundere aktywnie się rozwija, atakując użytkowników systemu Windows poprzez instalację złośliwego oprogramowania. Botnet wykorzystuje metody takie jak przynęty z gier oraz centrala C2 oparta na Ethereum, co sprawia, że jest trudny do wykrycia. Analiza Kaspersky'ego ujawniła złożone strategie funkcjonowania botnetu oraz jego rosyjskie pochodzenie, sugerując powiązania z innymi kampaniami złośliwego oprogramowania.

Botnet Tsundere to aktywnie rozwijająca się sieć botów, która atakuje użytkowników Windows poprzez wykorzystanie fałszywych instalatorów gier oraz komunikacji z serwerem C2 opartym na Ethereum. Atakujący korzystają z skryptów JavaScript do uruchamiania złośliwego oprogramowania przeciwdziałającego.

Badacze cyberbezpieczeństwa odkryli, że zagrożenie UNC2891 prowadziło wieloletnią kampanię oszustw ATM przeciwko dwóm indonezyjskim bankom, korzystając z manipulacji technologii, sieci wypłat gotówki i rekrutacji money mules.

Aktualny przewodnik CISA i jego partnerów dotyczy sposobów ograniczania cyberprzestępczości wspieranej przez infrastrukturę Bulletproof Hosting, której dostawcy najczęściej ignorują prośby o usunięcie treści szkodliwych. Zalecane działania obejmują identyfikację zasobów internetowych, analizę ciągłego ruchu oraz wdrażanie automatycznych recenzji list blokujących, mających na celu ochronę systemów przed cyberzagrożeniami.

W tym tygodniu w świecie hakerstwa i cyberbezpieczeństwa działo się wiele. Od Tajlandii, przez Londyn aż do Stanów Zjednoczonych, widzieliśmy aresztowania, działających szpiegów i duże ruchy w sieci. Hakerzy zostają złapani, a szpiedzy robią postępy. Nawet proste rzeczy, jak dodatki do przeglądarek internetowych i inteligentne urządzenia w domu, są wykorzystywane do atakowania ludzi. Każdego dnia pojawia się nowa historia, pokazująca, jak szybko zmienia się walka o kontrolę nad internetem. Rządy zaostrzają karanie cyberprzestępców, duże firmy technologiczne spieszą się z naprawą bezpieczeństwa. Badacze znajdują słabe punkty w aplikacjach i urządzeniach, których codziennie używamy. Zobaczyliśmy fałszywych rekruterów pracy na LinkedIn szpiegujących ludzi, ogromne przypadki prania brudnych pieniędzy za pomocą kryptowalut oraz zupełnie nowe złośliwe oprogramowanie stworzone tylko po to, aby przełamać zabezpieczenia Apple dla systemu MacOS. Wszystkie te historie przypominają nam, że ta sama technologia, która usprawnia życie, może zostać łatwo przekształcona w broń.

W ciągu ostatniego tygodnia działo się wiele w świecie hakerstwa i bezpieczeństwa online. Zatrzymano hakerów, szpiedzy doskonalą swoje zdolności, a nawet proste rzeczy jak dodatki do przeglądarek czy inteligentne urządzenia domowe są wykorzystywane do ataków. Widać, jak szybko zmieniają się walki o internet. Rządy zaostrzają działania przeciwko cyberprzestępczości, duże firmy technologiczne spieszą się, by zabezpieczyć swoje systemy, a badacze odkrywają słabe punkty w codziennych aplikacjach i urządzeniach. Nowe historie przypominają, że technologia, która ułatwia życie, może być łatwo przekształcona w broń.

W raporcie przedstawiono obraz rynku pracy na dark webie, gdzie znalezienie zatrudnienia i rekrutacja odbywają się według własnych norm i oczekiwań. Wiodącą kategorią specjalistów są programiści, testerzy penetracyjni i pralni pieniędzy, a najwyższe wynagrodzenia otrzymują specjaliści od inżynierii wstecznej. Mimo odrębności od legalnego rynku pracy, istnieją wyraźne podobieństwa, takie jak priorytet umiejętności praktycznych nad wykształceniem formalnym czy synchroniczne wahania podaży i popytu. Prognozuje się, że wiek i kwalifikacje poszukujących pracy na dark webie będą rosły, co wynikać będzie m.in. z globalnych redukcji zatrudnienia. Rynek pracy na dark webie ewoluuje wraz z legalnym rynkiem pracy, pod wpływem tych samych sił globalnej gospodarki.

Nowy trojan Sturnus przeznaczony dla systemu Android pozyskuje dane uwierzytelniające i umożliwia pełne przejęcie urządzenia w celu popełniania oszustw finansowych. Potrafi ominąć zaszyfrowane komunikatory, przeprowadzać ataki nakłamujące i wykorzystywać usługi dostępności Androida. Ma też zdolność do monitorowania aktywności urządzenia i zbierania treści z rozmów. Atakujący aktualizują narzędzia, aby unikać wykrycia i ulepszać swoje działania.

Nowy trojan bankowy Sturnus dla systemu Android umożliwia kradzież poświadczeń i pełne przejęcie urządzenia w celu popełniania oszustw finansowych. Ma zdolność ominięcia zaszyfrowanych wiadomości, narusza aplikacje bankowe poprzez wyświetlanie fałszywych okien logowania i może wykorzystać usługi dostępności systemu Android do przechwytywania klawiszy i rejestrowania interakcji z interfejsem użytkownika.

Nowo odkryte zagrożenie Tsundere botnet wykorzystuje Blockchain i Node.js, związanego z wcześniejszymi atakami z 2024 roku. Botnet rozwija się i stanowi aktywne zagrożenie dla użytkowników systemu Windows. Infekcje mogą nastąpić poprzez pliki MSI i PowerShell, co sprawia, że stanowi on rosnące zagrożenie cybernetyczne.

W odcinku 444 podcastu 'Smashing Security' z doświadczonym specjalistą cyberbezpieczeństwa Grahamem Cluleyem i gościem specjalnym Tricią Howard omawiane są odpowiedzi na naruszenia danych, kampanie malware w branży hotelarskiej, testowanie penetracyjne z wykorzystaniem sztucznej inteligencji, zjawisko cyberprzestępczości napędzanej AI oraz pytania, które szefowie ds. bezpieczeństwa powinni zadawać w poniedziałek rano. Dodatkowo w odcinku ożywiony został utracony odcinek Doctora Who oraz przeanalizowano karierę Eddiego Murphy'ego.

W trwającej kampanii malvertisingowej o nazwie TamperedChef, atakujący wykorzystują fałszywe instalatory udające popularne oprogramowanie, aby zainstalować złośliwe oprogramowanie. Celem ataków jest ustanowienie trwałości i dostarczenie złośliwego oprogramowania JavaScript umożliwiającego zdalny dostęp i kontrolę. Infrastruktura została opisana jako przemysłowa i biznesowa, a koncentracja zainfekowań wykryto głównie w USA, a także w innych krajach. Sektor opieki zdrowotnej, budownictwa i przemysłu są najbardziej dotknięte.

Kampania TamperedChef wykorzystuje fałszywe instalatory udające popularne oprogramowanie, aby zainfekować użytkowników szkodliwym oprogramowaniem. Celem ataków jest ustanowienie trwałości i dostarczenie złośliwego oprogramowania JavaScript umożliwiającego zdalny dostęp i kontrolę. Atakujący wykorzystują inżynierię społeczną oraz certyfikaty cyfrowe w celu zwiększenia zaufania użytkowników i uniknięcia wykrycia przez systemy zabezpieczeń.

W trakcie koordynowanej akcji mającej na celu zwalczanie naruszeń własności intelektualnej online, kilkadziesiąt podejrzanych stron i usług zostało zidentyfikowanych w Europie. Dochodzenie wykazało, że 69 stron zostało zidentyfikowanych i celowo zablokowanych, a śledztwo wciąż trwa. Odkryto przepływy kryptowalut o wartości około 55 mln dolarów związane z podejrzanymi usługami, co stanowi nowe wyzwanie dla śledczych w walce z przestępczością online.

Badacze cyberbezpieczeństwa ujawnili szczegóły nowej kampanii, która wykorzystuje inżynierię społeczną i przechwytującą WhatsApp do rozpowszechniania bankowego trojana Eternidade Stealer w atakach na użytkowników w Brazylii. Złośliwe oprogramowanie oparte na Python i Delphi coraz częściej jest wykorzystywane przez cyberprzestępców w Ameryce Łacińskiej, w tym kierowanych na instytucje brazylijskie. Kampania Water Saci, mająca na celu zaatakowanie użytkowników z tego kraju, wykorzystuje różnorodne potencjalne wektory zakażenia i odróżnia się geolokalizowanymi metodami wyłączania na komputerach ofiar spoza Brazylii. Eternidade Stealer, z systematycznością poluje na dane związane z bankowością, walutami cyfrowymi i serwisami płatności, poprzez podszywająca się do zalogowanych sesji bankowych aplikacji i skradając dane uwierzytelniające dane dotyczące takich usług jak np. Bradesco czy Coinbase.

Badacze cyberbezpieczeństwa ujawnili szczegóły nowej kampanii, która wykorzystuje inżynierię społeczną i przejmowanie WhatsApp do rozpowszechniania trojana bankowego Eternidade Stealer w atakach na użytkowników w Brazylii.

Nowo zidentyfikowany trojan bankowy o nazwie Eternidade Stealer przyspiesza rozwój ekosystemu cyberprzestępczego w Brazylii, wykorzystując WhatsApp jako punkt wejścia i narzędzie propagacyjne. Badacze z Trustwave SpiderLabs zauważyli duże postępy w narzędziach i taktykach działania przestępców, takich jak wykorzystanie Pythona do przejęcia kontroli nad WhatsApp i dynamiczne pobieranie poleceń C2 poprzez IMAP.

Grupa hakerska PlushDaemon, związana z Chinami, używa nowego narzędzia do ataków typu adversary-in-the-middle, które umożliwia im przekierowanie ruchu DNS w celu pobrania złośliwej aktualizacji oprogramowania. ESET research odkrył narzędzie nazwane EdgeStepper, dając grupie możliwość kompromitowania celów na całym świecie.

W trzecim kwartale 2025 r. zaktualizowano metodykę obliczania wskaźników statystycznych na podstawie Kaspersky Security Network. Skoncentrowano się na atakach złośliwego oprogramowania na urządzenia mobilne oraz pakietach instalacyjnych. W obszarze mobilnym zauważono m.in. zwiększoną liczbę próbek szkodliwego oprogramowania dla systemu Android oraz przypadki wykorzystywania Trojanów do generowania sztucznych wyświetleń reklam. Ponadto, trendem było zmniejszenie udziału bankowych trojanów, co nie wynikało z ich zmniejszonej ilości, lecz z rosnącego udziału innych szkodliwych pakietów.

W III kwartale 2025 roku świat cyberbezpieczeństwa był na progu znaczących wydarzeń. Organizacje ścigały sprawców ataków ransomware, międzynarodowe operacje likwidowały infrastrukturę złośliwego oprogramowania, a badacze wykrywali nowe rodziny ransomware i szpiegowskie oprogramowanie. Warto zauważyć, że atakujący coraz sprawniej wykorzystują luki w zabezpieczeniach, co wymaga szybkiej reakcji na nowe zagrożenia.

Grupa zagrożeń PlushDaemon używa im- plantu EdgeStepper do przeprowadzania ataków na połączenie pomiędzy strona- mi (AitM), kierując zapytania DNS do węzła przechwytującego, co umożliwia instalację złośliwego oprogramowania poprzez przechwycone aktualizacje oprogramowania. Atakują głównie znajdujące się w Azji firmy, używając zaawansowanych technik w celu uzyskania dostępu do systemów ofiar.

Zagrożenie związane z PlushDaemon wykorzystuje nieudokumentowane narzędzie sieciowe o nazwie EdgeStepper do ataków AitM. Grupa ta jest aktywna od co najmniej 2018 roku i przeprowadziła ataki na różne podmioty w różnych krajach, m.in. w Azji. Schemat ataku zaczyna się od kompromitacji urządzenia sieciowego, co pozwala na instalację caEdgeStepper, który manipuluje zapytaniami DNS w celu infekcji systemu złośliwym oprogramowaniem SlowStepper. Ostatecznym celem jest zdobycie danych i kontroli nad zainfekowanym systemem przez grupę PlushDaemon.

Podstępny zestaw phishingowy 2FA rozwija swoje możliwości poprzez dodanie funkcji Browser-in-the-Browser (BitB), ułatwiając mniej doświadczonym przestępcom cybernetycznym przeprowadzanie ataków na większą skalę.

Analiza podstępnego zestawu phishingowego Sneaky 2FA, który wprowadza funkcjonalność BitB, ułatwiając ataki przestępcom o mniejszych umiejętnościach. W artykule opisano także atak Passkey Pwned, wykorzystujący złośliwe rozszerzenia przeglądarki oraz sposoby obejścia metodyk odporności na phishing, takie jak atak downgrade przez zestaw Tycoon.

Nowa kampania malware oparta na siedmiu pakietach npm odkryta przez ekspertów ds. cyberbezpieczeństwa. Kampania działa pod kontrolą cyberprzestępcy znanego jako dino_reborn i wykorzystuje narzędzia maskujące, kontrole anty-analityczne oraz fałszywe CAPTCHA związane z giełdami kryptowalut.

Analitycy wskazują, że irańscy hakerzy atakują przemysł lotniczy, lotnictwo i obronę w Bliskim Wschodzie, wykorzystując złośliwe oprogramowanie DEEPROOT i TWOSTROKE. Grupa UNC1549 przeprowadza sofistykowane ataki poprzez wykorzystanie dostawców zewnętrznych i zaufanych partnerów, aby zdobyć dostęp do głównych celów. Ich działania skupiają się na długoterminowej obecności po wykryciu oraz minimalizacji śladów śledczych.

Irańscy hakerzy wykorzystują szkodliwe oprogramowanie DEEPROOT i TWOSTROKE w atakach na przemysł lotniczy, lotnictwo i obronę na Bliskim Wschodzie. Grupa UNC1549 łączy różne techniki, włączając phishing, ataki na dostawców oraz wykorzystywanie relacji biznesowych dla włamania się do systemów celów. Ich działania cechują się długotrwałą inwigilacją i dyskrecją w celu zapewnienia ciągłości ataku.

Odkryto siedem złośliwych pakietów npm wydanych przez jednego sprawcę inspirowanego usługą maskowania o nazwie Adspect, które mają na celu oszukanie ofiar i badaczy bezpieczeństwa, kierując ich na podejrzane strony związane z kryptowalutami.

Odkryto siedem złośliwych pakietów npm wykorzystujących usługę cloakingową Adspect do odróżnienia prawdziwych ofiar od badaczy bezpieczeństwa, przekierowując ich na podejrzane strony związane z kryptowalutami. Pakiety te zawierają szkodliwe oprogramowanie, które obejmuje mechanizm cloakingu i blokowanie działań dewelopera w celu utrudnienia analizy.

Zespół ekspertów ds. bezpieczeństwa ostrzega największe brytyjskie firmy przed ryzykiem naruszenia danych, po odkryciu setek tysięcy korporacyjnych danych dostępu na stronach związanych z przestępczością internetową.

Analiza aktywności grupy KongTuke wykorzystującej fałszywe strony CAPTCHA do przyciągania ofiar oraz generowania zainfekowanego ruchu. Artykuł opisuje szczegóły ataku, w tym wykorzystane narzędzia i techniki, oraz skutki infekcji.

Badacze cyberbezpieczeństwa odkryli kampanie malware'u wykorzystujące taktykę inżynierii społecznej ClickFix do rozprzestrzeniania Amatera Stealer i NetSupport RAT. Amatera oferuje cyberprzestępcom rozległe możliwości kradzieży danych, a NetSupport RAT jest uruchamiany w zależności od określonych warunków. Odkrycie to wpisuje się w większy kontekst kampanii phishingowych propagujących różne rodziny malware'u.

Badacze cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania wykorzystującą sprawdzoną taktykę inżynierii społecznej ClickFix do dystrybucji Amatera Stealer i NetSupport RAT. Odkrycia skupia się eSentire pod nazwą EVALUSION. Przestępcy internetowi korzystają z zaawansowanych technik unikania wykrycia, a ofiarą są użytkownicy wprowadzeni w błąd za pomocą przekierowań na fałszywe strony phishingowe.

Kraken, grupa operacyjna mówiąca po rosyjsku, wykorzystuje nietypowy proces benchmarkingu w celu mierzenia szybkości szyfrowania ofiar przez złośliwe oprogramowanie. Ich narzędzia obejmują systemy Windows, Linux oraz VMware ESXi, a ich tarcza ataku to organizacje w USA, UK, Kanadzie, Danii, Panamie i Kuwejcie. Współpraca z innymi grupami, takimi jak HelloKitty, wskazuje na ewolucję grupy Kraken na rynku przestępczym cyberprzestępczym.

Tydzień pokazał, jak szybko mogą się pojawić problemy, gdy nikt nie pilnuje. Ataki były ciche i podstępne, wykorzystując zaufane narzędzia codziennego użytku. Społeczeństwo przestępcze buduje systemy, wykorzystując aplikacje i usługi biznesowe do zarabiania pieniędzy, szpiegowania lub rozprzestrzeniania złośliwego oprogramowania. Konieczne jest zachowanie czujności, obserwacja najnowszych zagrożeń i zabezpieczenie się przed nimi.

Podsumowanie zawiera analizę ataków cybernetycznych, wykorzystanie podatności w Fortinet, zagrożenia związane z aplikacjami AI, oraz wskazówki dotyczące zabezpieczania ruchu aplikacji mobilnych. Istotne ostrzeżenia dotyczące patchy i kluczowe zagrożenia w kontekście cyberbezpieczeństwa.

Dragon Breath, znany jako APT-Q-27 oraz Golden Eye, używa wieloetapowego narzędzia ładowania o kodowej nazwie RONINGLOADER do dostarczenia zmodyfikowanej wersji trojana zdalnego dostępu Gh0st RAT. Kampania skierowana głównie do użytkowników mówiących po chińsku wykorzystuje zainfekowane instalatory NSIS udające legitymacyjne aplikacje takie jak Google Chrome i Microsoft Teams. Grupa hakerska jest aktywna od co najmniej 2020 roku i wiązana z większą chińskojęzyczną jednostką Miuuti Group, atakującą branże gamingu online i hazardu. W ostatniej dokumentowanej kampanii installer NSIS aktywuje dwa kolejne zagnieżdżone installery, z których jeden instaluje legalne oprogramowanie, a drugi wzmacnia atak. RONINGLOADER próbuje usuwać haki użytkownika, podwyższać uprawnienia, unikać programów antywirusowych i uruchamiać proces ataku.

Dragon Breath, znany pod nazwami APT-Q-27 i Golden Eye, wykorzystuje multi-stage loader RONINGLOADER do dostarczenia zmodyfikowanej wersji trojana zdalnego dostępu Gh0st RAT. Kampania ta jest skierowana głównie do użytkowników posługujących się językiem chińskim i wykorzystuje złośliwe instalatory NSIS podszywające się pod legitymalne aplikacje takie jak Google Chrome czy Microsoft Teams. Zespół hackingowy działa od co najmniej 2020 roku i jest powiązany z większym, chińskojęzycznym podmiotem znany jako Grupa Miuuti, atakujący branżę gier online i hazardowych. Ostatecznym celem załadowywania złośliwych plików jest wstrzymanie procesów bezpieczeństwa, umożliwiając wdrożenie Gh0st RAT.

Botnet RondoDox wykorzystuje lukę w zabezpieczeniach serwerów XWiki, aby zwiększyć liczbę urządzeń w swoim botnetowym ataku. Exploit CVE-2025-24893 stanowi zagrożenie dla systemów, a agencje rządowe zostały zobowiązane do stosowania niezbędnych łatek. Wzrost prób wykorzystania luki w zabezpieczeniach wskazuje na szeroką aktywność zagrożeń, włącznie z botnetem RondoDox, który szybko dodaje nowe wektory ataku.

Analiza zwięzła artykułu o cyberbezpieczeństwie dotyczącego malwara RondoDox, który wykorzystuje niezałatane instancje XWiki do zwiększenia liczby urządzeń w swoim botnetcie.

Badacz zespołu skombinował spożycie kalorii przez krótkopłetwą pilotową wielorybicę, łącząc dane z różnych źródeł, takich jak ruch z tagów satelitarnych, pomiary ciała z dronów czy analiza żołądków wielorybów. Dowiedział się, że typowa wielorybica zjada między 82 a 202 kałamarnic na dzień, a rocznie około 74 000 kałamarnic na wieloryba. Dla wszystkich wielorybów w okolicy oznacza to około 88 000 ton kałamarnic spożywanych rocznie.

Północnokoreańscy sprawcy zagrożenia stojący za kampanią Contagious Interview ponownie zmienili taktykę, wykorzystując usługi przechowywania JSON do dostarczania złośliwych ładunków. Podstęp polega na zbliżaniu się do potencjalnych celów na stronach networkingowych takich jak LinkedIn, instruując je do pobrania demo projektu hostowanego na platformach takich jak GitHub, GitLab lub Bitbucket, który w rzeczywistości zawiera złośliwe oprogramowanie.

Grupa północnokoreańskich hakerów stosuje usługi przechowywania JSON do przeprowadzania ataków z użyciem złośliwego oprogramowania, podszywając się pod projekty kodu, aby ukryć etapowe ładunki i pozyskać wrażliwe dane.

Odkryto krytyczne podatności umożliwiające zdalne wykonanie kodu w popularnych silnikach wnioskowania sztucznej inteligencji, a także zagrożenia związane z nowymi atakami na przeglądarki i środowiska programistyczne AI.

Badacze cyberbezpieczeństwa odkryli krytyczne luki umożliwiające zdalne wykonanie kodu w głównych silnikach wnioskowania sztucznej inteligencji, w tym w projektach Meta, Nvidia, Microsoft oraz na otwartoźródłowej platformie PyTorch.

Iraniańska grupa APT42 rozpoczęła kampanię szpiegowską o nazwie SpearSpecter, skierowaną na wysoko postawionych urzędników obronnych i rządowych, wykorzystując zaawansowane techniki inżynierii społecznej. Działania te mają na celu zdobycie poufnych informacji i dostępu do kluczowych systemów, korzystając z złożonych ataków cybernetycznych.

Iraniańska grupa APT42 przeprowadza kampanię szpiegowską o nazwie SpearSpecter, targetując wysoko postawionych urzędników obronnych i rządowych poprzez zaawansowane taktyki inżynierii społecznej. Kampania skupia się również na członkach rodzin celów, poszerzając powierzchnię ataku. Wykorzystując różne subgrupy, grupa APT42 stosuje skuteczne kampanie inżynierii społecznej, wykorzystując m.in. PowerShell backdoor TAMECAT do długoterminowego dostępu.

Analiza nowego rodzaju złośliwego dokumentu Microsoft Office, który ukrywa szkodliwy RTF dokument wewnątrz innego pliku, wykorzystując technikę rosyjskich lalek Matryoshka. Dokument zawiera exploit wykorzystujący CVE-2017-11882 oraz obfuskowany DLL sugerujący możliwe powiązanie z malwarem Formbook.

Cyberatak z wykorzystaniem sztucznej inteligencji AI przez hakerów ze wsparciem państwowym z Chin przeprowadzony we wrześniu 2025 r. na globalne cele, wykorzystując narzędzia takie jak Claude Code i MCP.

Organizacja państwowa z Chin zaangażowana w cyberzagrożenia wykorzystała technologię sztucznej inteligencji opracowaną przez firmę Anthropic do prowadzenia zautomatyzowanych ataków cybernetycznych w ramach wysoko zaawansowanej kampanii szpiegowskiej w połowie września 2025 r.

Grupa zagrożeń posługująca się językiem rosyjskim prowadzi masową kampanię phishingową, w ramach której zarejestrowano ponad 4 300 domen od początku roku. Atak ma na celu klientów branży hotelarskiej, zwłaszcza gości hotelowych z rezerwacjami podróży. Kampania rozpoczęła się w pełni w lutym 2025 roku i wykorzystuje zaawansowany zestaw phishingowy, oszukując ofiary, że dokonują płatności za rezerwację hotelu. Zagrożenie obejmuje 43 różne języki, a strony fałszywe udające autentyczność wykorzystują nazwy domen związane z rezerwacjami, potwierdzeniami i wpłatami.

Rosyjskojęzyczna grupa przestępcza przeprowadza masową kampanię phishingową, rejestrując ponad 4 300 domen od początku roku. Atak skoncentrowany jest na klientach branży hotelarskiej, zwłaszcza gościach hotelowych, korzystających z popularnych platform rezerwacyjnych.

Złośliwe rozszerzenie udające prawidłowy portfel Ethereum w przeglądarce Chrome zostało odkryte przez badaczy cyberbezpieczeństwa. Nazywa się ono „Safery: Ethereum Wallet” i ma funkcjonalność kradzieży fraz-kluczy użytkowników, po czym przekodowuje je na adresy portfeli Sui, umożliwiając złoczyńcy podsłuchanie transakcji na blockchainie.

Odkryto złośliwe rozszerzenie do Chrome'a udające legitimacyjny portfel Ethereum, które w rzeczywistości kradnie frazy seed użytkowników, kodując je jako adresy portfela Sui i wysyłając mikrotransakcje z kontrolowanego przez cyberprzestępcę portfela. Zagrożeni są użytkownicy, a obrońcy zalecają skanowanie rozszerzeń i blokowanie podejrzanych zachowań.

W 2025 roku ponad 50-61% nowych podatności było wykorzystywanych w ciągu 48 godzin od ujawnienia. Szybkość reakcji atakujących i obrońców różni się diametralnie, wymagając natychmiastowych działań w zakresie bezpieczeństwa cybernetycznego. Automatyzacja, polityka i działania w tempie maszynowym stają się kluczowe dla skutecznej obrony przed atakami.

Ataki cybernetyczne stają się coraz bardziej szybkie, wyprzedzając łatki o długą metę. W odpowiedzi na szybkość ataków, organizacje muszą przejść na automatyzację i szybkie działanie, aby uniknąć kompromitacji. Przyszłość cyberbezpieczeństwa należy do tych, którzy podejmują natychmiastowe i wyważone działania.

Wspólna operacja organów ścigania Europolu i Eurojust doprowadziła do zakłócenia działalności rodzin szkodliwego oprogramowania Rhadamanthys Stealer, Venom RAT i botnetu Elysium. Włady sprawiający szkody cyberprzestępcy zostali zatrzymani, setki tysięcy zainfekowanych komputerów zostało oczyszczonych, a dziesiątki serwerów i domen przejętych, co oznacza znaczący cios w ekosystem cyberprzestępczy. Współdziałanie organów ścigania i sektora prywatnego odegrało kluczową rolę w tej operacji, zwalczając infrastrukturę wspierającą ransomware oraz groźne narzędzia cybernetyczne.

W ramach wspólnych działań prawniczych pod przewodnictwem Europolu i Eurojustu zaburzono rodziny złośliwego oprogramowania takie jak Rhadamanthys Stealer, Venom RAT oraz botnet Elysium. Operacja ta, przeprowadzona między 10 a 13 listopada 2025 r., jest najnowszą fazą działań operacji Koniec Gry, mającej na celu obalenie infrastruktur przestępczych i zwalczanie sprawców ransomware na całym świecie.

Biuletyn Zagrożeń analizuje najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, których tematyka obejmuje nowe inicjatywy legislacyjne w Wielkiej Brytanii, naruszenia bezpieczeństwa przez byłego pracownika Intela, aktualizacje projektu OWASP, wycieki danych z firm AI, phishing na Facebooku, ulepszenia związane z przeglądarką Firefox oraz ataki phishingowe wykorzystujące nowe narzędzia i platformy technologiczne. Ostatnie wydarzenia potwierdzają, że świat cybernetyczny nigdy nie zwalnia tempa, a świadomość i uważność stanowią klucz do efektywnej obrony przed coraz bardziej zaawansowanymi zagrożeniami.

W artykule omówiono najnowsze wydarzenia z dziedziny cyberbezpieczeństwa, takie jak projekty prawne na rzecz wzmocnienia krajowej ochrony, przypadki wycieku danych, nowe puste zaznaczenia zagrożeń czy dostępność wsparcia dla menedżerów haseł. Opublikowano także wyniki badania dotyczącego wycieków tajnych informacji przez firmy zajmujące się sztuczną inteligencją oraz opisano nowe kampanie phishingowe. Również podjęto debatę na temat kontrowersyjnych zmian w wymogach dotyczących prywatności i bezpieczeństwa danych osobowych obywateli UE. Konkluzja wskazuje na nieustanny rozwój zagrożeń w cyberprzestrzeni, przy jednoczesnym postępie w dziedzinie ochrony danych i bezpieczeństwa.

Menedżery haseł stanowią kluczowy element praktyk związanych z cyberbezpieczeństwem, ale wymagają dodatkowych środków ostrożności. Zagrożenia wciąż ewoluują, dlatego ważne jest śledzenie aktualnych trendów w celu zabezpieczenia swoich informacji online.

Wielkoskalowa kampania spamu zalewa rejestr npm tysiącami fałszywych pakietów od początku 2024 roku, mając prawdopodobnie na celu finansowe motywacje. Złośliwe pakiety nazwano Robakami związku potraw indonezyjskich.

Badacze cybersecurity zwracają uwagę na masową kampanię spamową, która zalała rejestr npm tysiącami fałszywych pakietów od początku 2024 roku. Atak ma charakter prawdopodobnie motywowany finansowo.

Raport Amazona ujawnił wykorzystanie dwóch luki zero-day w produktach Cisco ISE i Citrix NetScaler, zwracając uwagę na coraz bardziej zaawansowane zagrożenia dla infrastruktury kontrolującej dostęp do sieci.

Zespół inteligencji zagrożeń Amazona ujawnił wykorzystywanie dwóch luk zerodniowych w Cisco ISE i Citrix NetScaler ADC w atakach z użyciem własnego oprogramowania malware. Ataki zostały zauważone dzięki sieci MadPot, a wykorzystywany backdoor umożliwiał monitorowanie i modyfikowanie ruchu sieciowego. Incydent podkreśla konieczność wdrażania kompleksowych strategii obronnych.

Active Directory pozostaje rdzeniem uwierzytelniania dla ponad 90% przedsiębiorstw z listy Fortune 1000. Atakując Active Directory, atakujący zyskują kontrolę nad całą siecią, powodując poważne konsekwencje, jak pokazał incydent związany z Change Healthcare w 2024 roku. W obliczu coraz bardziej zaawansowanych ataków, konieczne jest wprowadzenie podejścia wielowarstwowego, które adresuje kradzież danych uwierzytelniających, zarządzanie przywilejami oraz ciągłe monitorowanie.

W artykule przedstawiono potrzebę wzmocnienia bezpieczeństwa Active Directory z uwagi na rosnące zagrożenia i skomplikowaną strukturę, która stanowi kuszący cel dla atakujących. Przedstawiono także konkretne przypadki ataków oraz zalecenia dotyczące zabezpieczeń, w tym polityk hasłowych, zarządzania przywilejami, monitorowania ciągłego i podejścia zero trust.

Rosyjski haker Aleksey Olegovich Volkov przyznaje się do pomagania grupie ransomware Yanluowang w infekowaniu firm w USA poprzez dostarczanie dostępu do sieci ofiar. Za swoje działania zarobił ponad 256 000 USD i teraz ma zapłacić ponad 9 milionów USD w rekompensacie. Sprawa ta pokazuje zorganizowaną strukturę ekosystemu ransomware oraz to, że płatności w kryptowalutach mogą zostać wyśledzone.

Malware 'Maverick' to nowe zagrożenie atakujące brazylijskie banki poprzez WhatsApp. Jest podobny do wcześniejszego Coyote, działa na komputerach użytkowników w Brazylii, monitoruje aplikacje bankowe i rozmawia z serwerem zdalnym w celu kradzieży danych logowania do kont bankowych. Trend Micro uważa, że Maverick może być ewolucją Coyote, choć Kaspersky traktuje go jako zupełnie nowe zagrożenie. Malware wykorzystuje skrypty PowerShell i Visual Basic Script, aby kontrolować sesje przeglądarki i rozprzestrzeniać złośliwe pliki ZIP za pośrednictwem WhatsApp. Atak koncentruje się na użytkownikach w Brazylii, a jego efektywność wynika z popularności WhatsApp w tym kraju.

Odkryto nowe złośliwe oprogramowanie Maverick rozprzestrzeniane poprzez WhatsApp, które atakuje brazylijskie instytucje finansowe. Program jest zdolny do monitorowania aktywnych sesji przeglądarek w poszukiwaniu stron bankowych oraz rozpowszechniania się przez WhatsApp Web. Trend Micro wskazuje na podobieństwa z wcześniej znanym oprogramowaniem Coyote, sugerując, że Maverick może być jego ewolucją. CyberProof oraz Sophos potwierdzają złożoność nowego łańcucha ataku, który umożliwia kradzież danych i kontrolę nad zainfekowanymi urządzeniami.

GootLoader, związanym z grupą groźnych cyberprzestępców Hive0127, ponownie się pojawił, wykorzystując nową metodę ukrywania malwara na stronach WordPress. Oprogramowanie wykorzystuje m.in. niestandardowe czcionki WOFF2 do maskowania nazw plików i atakuje z wykorzystaniem tzw. zakażonych archiwów ZIP. Przestępcy rozprzestrzeniają to zagrożenie przede wszystkim za pomocą taktyki manipulowania wynikami wyszukiwania w celu dostarczenia dodatkowych ładunków, w tym ransomware'u.

Złośliwe oprogramowanie GootLoader powróciło, wykorzystując niestandardowe czcionki WOFF2 do zamaskowania nazw plików, atakując strony WordPress. Atak polega na przekierowywaniu użytkowników za pomocą oszukujących fraz w wyszukiwarkach oraz ukrywaniu prawdziwej natury plików ZIP za pomocą trików obfuscacji.

Ataki na łańcuch dostaw z wykorzystaniem technologii AI wzrosły o 156% w zeszłym roku. Poznaj dlaczego tradycyjne obrony zawodzą i co CISO powinien zrobić teraz, aby chronić swoje organizacje.

Ataki na łańcuchy dostaw z wykorzystaniem sztucznej inteligencji wzrosły o 156% w zeszłym roku. Artykuł analizuje nowe, bardziej zaawansowane ataki oraz przedstawia konieczne działania, jakimi muszą teraz zająć się specjaliści ds. bezpieczeństwa informatycznego CISO, aby chronić swoje organizacje.

Odkryto złośliwy pakiet npm o nazwie „@acitons/artifact”, który podszywa się pod prawdziwy pakiet „@actions/artifact” z zamiarem atakowania repozytoriów należących do GitHub. Pakiet ten zawierał szkodliwe skrypty mające na celu kradzież tokenów i publikację złośliwych artefaktów jako GitHub. Szerokość ataku była ograniczona do repozytoriów należących do GitHub oraz użytkownika „y8793hfiuashfjksdhfjsk”.

Złośliwy pakiet npm o nazwie „@acitons/artifact” został odkryty przez badaczy cyberbezpieczeństwa. Pakiet ten ma na celu zastąpienie prawidłowego pakietu „@actions/artifact” i jest skonfigurowany w taki sposób, aby atakować repozytoria GitHuba. W pakiecie wykryto szereg wersji, które zawierały złośliwe skrypty pobierające i uruchamiające malware. Microsoft, właściciel GitHuba, potwierdził, że pakiety te były częścią ćwiczeń Red Team i nie stanowiły zagrożenia dla systemów ani danych GitHuba.

Fantasy Hub to nowy trojan zdalnego dostępu dla systemu Android, oferowany na rosyjskojęzycznych kanałach Telegram jako usługa Malware-as-a-Service. Malware ten umożliwia kontrolę urządzenia oraz szpiegostwo, zagrażając głównie użytkownikom korzystającym z bankowości mobilnej.

Nowy trojan zdalnego dostępu Fantasy Hub na system Android staje się usługą Malware-as-a-Service (MaaS), przekształcając Telegram w narzędzie dla cyberprzestępców. Usługa umożliwia kontrolę urządzenia, szpiegostwo oraz zbieranie danych, stanowiąc bezpośrednie zagrożenie dla przedsiębiorstw i użytkowników korzystających z bankowości mobilnej.

Konni, grupa odpowiadająca za liczne ataki, wykorzystała usługi Google do zdalnego resetowania urządzeń ofiar, co prowadziło do nieautoryzowanego usuwania danych osobistych. Atak polegał m.in. na podszywaniu się pod doradców psychologicznych i aktywistów praw człowieka z Korei Północnej oraz rozpowszechnianiu złośliwego oprogramowania.

Grupa cyberprzestępcza związana z Koreą Północną, Konni, przeprowadziła nową serię ataków wymierzonych w urządzenia z systemem Android oraz Windows w celu kradzieży danych i zdalnej kontroli. Atakujący udają doradców psychicznych i aktywistów praw człowieka z Korei Północnej, rozprowadzając złośliwe oprogramowanie podszywające się pod programy łagodzące stres. Zauważalne jest także wykorzystanie przez nich usługi śledzenia aktywów Google'a, Find Hub, do zdalnego resetowania urządzeń ofiar, co prowadzi do nieautoryzowanego usuwania danych osobistych. Atak został wykryty we wrześniu 2025 roku. Konni po raz pierwszy użyła legalnych funkcji zarządzania do zdalnego resetowania urządzeń mobilnych, prowadząc do kradzieży danych, zdalnego monitorowania systemu oraz kradzieży danych logowania.

W minionym tygodniu ataki cybernetyczne nie zwolniły tempa, a atakujący stają się coraz bardziej sprytni. Malware ukryty w maszynach wirtualnych, wycieki informacji związane z chatami opartymi na sztucznej inteligencji, czy też cichy spyware celujący w urządzenia z systemem Android, to tylko część widocznego zagrożenia. Odkrycia wskazują na ewolucję cyberprzestępczości, gdzie granice między technicznym kamuflażem a strategiczną koordynacją zacierają się.

W ostatnim tygodniu cyberzagrożenia nie zwolniły tempa, a atakujący stają się coraz bardziej sprytni. Artykuł porusza tematy związane z ukrywaniem złośliwego oprogramowania w maszynach wirtualnych, wyjawianiem rozmów AI oraz cichym atakowaniem urządzeń z systemem Android. Należy zwrócić uwagę, że cyberprzestępczość szybko ewoluuje, a granice między techniczną dyskrecją a strategiczną koordynacją zaciekliwie się zacierają.

Raport o bezpieczeństwie przeglądarek ujawnia, że wiele ryzyk związanych z tożsamością, usługami SaaS i AI koncentruje się w przeglądarce użytkownika, tworząc nowe zagrożenia. Rozwijające się zagrożenia obejmują m.in. niewłaściwie zarządzane rozszerzenia, narzędzia GenAI dostępne przez konta osobiste, skopiowanie wrażliwych danych do pól wiadomości oraz sesje omijające uwierzytelnianie SSO. Raport analizuje te i inne kluczowe wyniki oraz zmieniające się siedlisko kontroli w bezpieczeństwie przedsiębiorstw.

Raport o bezpieczeństwie przeglądarek z 2025 roku ukazuje, że największe ryzyka związane z tożsamością, SaaS oraz sztuczną inteligencją zbiegają się w jednym miejscu - w przeglądarce użytkownika. Artykuł analizuje kluczowe wnioski z raportu i ukazuje zmieniające się miejsce kontroli w bezpieczeństwie przedsiębiorstw, zwracając uwagę na pojawiające się zagrożenia związane z rozwojem GenAI i 'agentic' AI przeglądarek, które stanowią nowe obszary ataku, omijając tradycyjne narzędzia bezpieczeństwa.

Grupa cyberbezpieczeństwa Sekoia zidentyfikowała olbrzymią kampanię phishingową wymierzoną w branżę hotelarską, która wykorzystuje taktykę ClickFix do zbierania danych logowania menedżerów hoteli i instaluje złośliwe oprogramowanie PureRAT. Atakujący za pomocą złożonej operacji wykorzystują naruszone konta e-mail do wysyłania złośliwych wiadomości do wielu hoteli, udając firmę Booking.com. Ich celem jest kradzież danych logowania, umożliwiających nieautoryzowany dostęp do platform rezerwacyjnych takich jak Booking.com czy Expedia.

Zaawansowana kampania phishingowa skupiająca się na branży hotelarskiej, celująca w menedżerów hoteli, by wykradać ich dane logowania i wykorzystująca malware jak PureRAT. Atakujący wykorzystują m.in. spoofing wiadomości od Booking.com, aby przekierować ofiary na złośliwe strony, co prowadzi do kradzieży danych logowania oraz oszustw na platformach rezerwacyjnych. Złożone oprogramowanie napastnika wspiera szereg funkcji, a atakujący kupują skradzione dane z hoteli w celu dalszego wykorzystania w działaniach przestępczych.

Artykuł informuje o malware'u o nazwie 'Landfall', który jest skierowany do użytkowników urządzeń Samsung Galaxy. Zaleca się kontakt z właścicielem strony w przypadku blokady, podając Cloudflare Ray ID i informując o czynnościach, które mogły spowodować zablokowanie dostępu.

W uznaniu dla osiągnięć Davida Harleya, doświadczonego badacza cyberbezpieczeństwa, autora i mentora, który był mostem między stroną techniczną a ludzką w dziedzinie bezpieczeństwa.

Oszustwa na platformach komunikacyjnych, takich jak WhatsApp, stanowią poważne zagrożenie dla poufności danych użytkowników. Oszuści wykorzystując psychologiczną manipulację, próbują wyłudzić informacje finansowe i osobiste poprzez udostępnienie ekranu podczas wideorozmowy. Działając pod przykrywką różnych pretekstów, przestępcy otrzymują dostęp do danych bankowych, haseł i kodów weryfikacyjnych, co pozwala im na kradzież tożsamości i oszustwa finansowe. Kluczem do bezpieczeństwa przed tym oszustwem jest świadomość i dyscyplina w zachowaniu podczas rozmów video na WhatsApp oraz unikanie udostępniania ekranu czy instalowania podejrzanych aplikacji zleconych przez nieznajomych.

Raport opisuje ujawnienie 2 miliardów adresów e-mail i 1,3 miliarda unikalnych haseł, dostarczonych przez Synthient do Have I Been Pwned w celu powiadamiania ofiar. Dane zostały pozyskane z miejsc publikacji cyberprzestępców. Autor analizuje proces weryfikacji danych, wpływ na użytkowników oraz trudności techniczne związane z przetwarzaniem takiego wolumenu informacji. Zaleca unikanie ponownego używania haseł, sprawdzenie swojej wystawienia w usłudze Have I Been Pwned oraz zwraca uwagę na ważność bezpiecznych praktyk w zarządzaniu hasłami.

Grupa groźnego działania wykorzystuje załączniki złośliwe rozpowszechniane za pomocą phishingowych e-maili, atakując prawdopodobnie sektor obronny w Rosji i Białorusi. Kampania używa tylnich drzwi, ukrytych w plikach archiwum, skrótach Windows i usługach Tor i OpenSSH, aby zainfekować hosty komputerowe i umożliwić atakującym zdalny dostęp.

W tej odsłonie podcastu Unlocked 403 eksperci z ESET rozmawiają o psychologii wykorzystywanej przez oszustów internetowych oraz o tym, dlaczego ludzie pozostają podatni na ataki typu social engineering. Omawiają również jak dostępność publicznie dostępnych informacji ułatwia oszustom oraz jak można się przed nimi chronić.

Po wykryciu cyberataku kluczowy jest szybki i skuteczny dział postępowania w celu zapobieżenia dalszej penetracji oraz minimalizacji szkód. Warto posiadać wypracowany plan reakcji na incydent, który obejmuje wczesne wykrycie, izolację, usunięcie zagrożenia, a następnie przywrócenie systemów i analizę zdarzenia w celu doskonalenia procedur.

W 2025 roku grupa zagrożeń BRONZE BUTLER wykorzystała zerodniową lukę w oprogramowaniu Motex LANSCOPE Endpoint Manager do kradzieży poufnych informacji. Atakujący uzyskali dostęp początkowy poprzez CVE-2025-61932, umożliwiający im wykonanie poleceń z uprawnieniami SYSTEM. Zagrożenie wykorzystało również złośliwe oprogramowanie Gokcpdoor oraz ramkę Havoc C2 do przeprowadzenia ataku. Zalecenia CTU™ obejmują aktualizację serwerów LANSCOPE oraz monitorowanie urządzeń narażonych na zagrożenie.

Starsze osoby są coraz częstszymi celami oszustw online, co może prowadzić do znacznych strat finansowych. Jednak efektywne działania ochronne, oparte na komunikacji rodzinnej i technicznych zabezpieczeniach, mogą znacząco zmniejszyć to ryzyko.

Analiza najnowszych zagrożeń cybernetycznych wykrytych przez Kaspersky, w tym operacji ForumTroll wykorzystującej szpiegowskie oprogramowanie komercyjne Dante rozwinięte przez włoską firmę Memento Labs (dawniej Hacking Team). Atak został zidentyfikowany jako działalność grupy APT ForumTroll. Artykuł szczegółowo opisuje atak oraz techniki obronne stosowane przez oprogramowanie.

Analiza prowadzona przez ESET wskazuje na aktywność grupy Lazarus z Korei Północnej w ramach kampanii cyberszpiegowskiej Operation DreamJob, skupiającej się na sektorze bezzałogowych statków powietrznych. Grupa Lazarus, znana również jako HIDDEN COBRA, jest odpowiedzialna za liczne incydenty cyberataków o znaczeniu globalnym. W ostatnich atakach wykorzystywano narzędzia takie jak ScoringMathTea, BlindingCan czy SimplexTea. Interes grupy w technologii UAV może wynikać z prób Korei Północnej rozwoju własnego programu dronów. Analizując aktywność Lazarusa, widoczne jest dążenie do pozyskiwania informacji związanych z technologią UAV.

Analiza krytycznej podatności w logice nagród protokołu BetterBank, która doprowadziła do milionowych strat i zwrócenia części skradzionych aktywów przez atakującego.

SnakeStealer to szkodliwe oprogramowanie, które ma niezaspokojoną chęć zdobywania cennych danych osobowych. Ostatnio zyskał na popularności i stał się jednym z głównych zagrożeń infostealingu. Artykuł podkreśla konieczność stosowania silnych praktyk cyberbezpieczeństwa, aby unikać infostealerów takich jak SnakeStealer.

Artykuł analizuje zagrożenia związane z przeciekiem danych, w tym infostealery i listy skradzionych poświadczeń. Autor prezentuje badanie Ben'a z firmy Synthient, który zbiera i analizuje ogromne ilości danych dotyczących zagrożeń. Omawiane są m.in. typy danych skradzionych i sposób weryfikacji ich autentyczności. Przedstawione są również przykłady związane z użyciem danych uwierzytelniających w atakach cybernetycznych.

Zagrożenia cybernetyczne stale ewoluują, a phishing w e-mailach nie jest wyjątkiem. Autorzy zagrożeń nieustannie wprowadzają nowe metody omijania filtrów bezpieczeństwa i unikania czujności użytkowników. Tymczasem, ugruntowane - nawet zapomniane - taktyki nie zniknęły; wręcz przeciwnie, niektóre zyskują drugie życie. Artykuł opisuje niektóre nietypowe techniki, jakimi posługują się złośliwi aktorzy w 2025 roku.

Kampania cyberespionage PassiveNeuron ma na celu atakowanie serwerów organizacji rządowych, finansowych i przemysłowych w Azji, Afryce i Ameryce Łacińskiej. Atakujący używają zaawansowanych implantów APT, takich jak Neursite i NeuralExecutor, aby zyskać zdalny dostęp i wykonać złośliwe komendy. Badacze z Kaspersky odkrywają szczegóły kampanii oraz wskazują na możliwe przynależności do aktora chińskojęzycznego.

Google Threat Intelligence Group (GTIG) zidentyfikowało trzy nowe rodziny malware'ów przypisane grupie hakerskiej z Rosji znanej jako kolbergerowcy. To oznacza zwiększoną aktywność ze strony tego aktora zagrożenia. Nowe malware'y, oznaczone jako NOROBOT, YESROBOT i MAYBEROBOT, stanowią kolekcję powiązanych rodzin malware'ów połączonych za pomocą łańcucha dostaw. Ataki wymierzone w osoby wysokiego profilu w organizacjach pozarządowych i doradców politycznych skupiły się na wykorzystaniu podstępnego typu przynęt ClickFix, aby wywołać uruchomienie złośliwych poleceń PowerShell w systemie Windows. Malware'y NOROBOT i MAYBEROBOT są śledzone przez Zscaler ThreatLabz pod nazwami BAITSWITCH i SIMPLEFIX. Google zauważyło, że te malware'y są najprawdopodobniej przeznaczone dla znaczących celów, które mogły zostać już skompromitowane poprzez phishing w celu pozyskania dodatkowej wiedzy z ich urządzeń.

W najnowszych incydentach cyberbezpieczeństwa widoczny trend długotrwałych, cichych włamań. Obrona polega teraz nie tylko na szybkim łataniu podatności, ale również na inteligentnym monitorowaniu i czujności na to, czego się nie spodziewamy. W artykule omówione zostały atak na F5 ze strony państwa, krytyczne podatności oraz konieczność zapobiegania wyciekom danych z chmur obliczeniowych poprzez właściwą konfigurację.

Ataki ClickFix, FileFix, fałszywe CAPTCHA - bez względu na nazwę, są szybko rosnącym źródłem naruszeń bezpieczeństwa, gdzie użytkownicy interakcjonują z złośliwymi skryptami w przeglądarce internetowej. Ataki te polegają na wykorzystywaniu użytkowników do uruchamiania złośliwych poleceń na ich urządzeniach poprzez kopiowanie złośliwego kodu i lokalne jego uruchamianie.

Podsumowanie analizy zagrożeń cybernetycznych w lipcu i sierpniu. Ransomware nadal stanowi główne zagrożenie, z nowymi schematami ataków i fragmentacją krajobrazu ransomware. Zalecenia obejmują szybkie łatanie podatności, MFA odporna na phishing oraz monitorowanie chmury i hybrydowych środowisk.

Analiza odkrycia złośliwego pakietu w ekosystemie npm, który udaje popularne pakiety i instaluje agenta AdaptixC2 na zainfekowanych urządzeniach. Atak ten pokazuje rosnącą tendencję wykorzystywania otwartych ekosystemów oprogramowania do dystrybucji szkodliwego oprogramowania.

Artykuł omawia zagrożenia związane z SEO spamem i ukrytymi linkami na stronach internetowych. Przedstawia techniki wykorzystywane przez atakujących oraz metody ochrony przed nimi, takie jak regularne aktualizacje oprogramowania, kontrola dostępu i wykorzystanie zapór aplikacyjnych. Przestrzeń także informuje o konsekwencjach takich działań i sposobach wykrywania SEO spamu na stronach internetowych.

Artykuł porusza zagrożenia związane z pobieraniem modów do gry Minecraft, wskazując na ryzyko związane z malware, które może udawać mody. Dodatkowo podkreśla istniejące zagrożenia cyberprzestępczości i proponuje środki ostrożności dla graczy, aby zminimalizować ryzyko zainfekowania systemu.

Artykuł opisuje skomplikowaną kampanię malware w Brazylii, gdzie rozprzestrzeniany jest złośliwy plik LNK za pomocą WhatsApp. Celuje głównie w Brazylijczyków i używa portugalsko nazwane adresy URL. Ostatecznie dostarcza nowego Trojana bankowego o nazwie Maverick, zawierającego wiele podobieństw kodowych z Coyote. Cała łańcuch infekcji jest bardzo zaawansowany i całkowicie bezplikowy, z wieloma złożonymi etapami, jak manipulacja użytkownika, pobieranie skryptów PowerShell, obfuskacja, deszyfrowanie kodów, zabezpieczenia komunikacyjne i współpraca z C2. Trojan ten wyróżnia się także nadużywaniem WhatsApp do rozprzestrzeniania, oraz wykazuje zastosowanie AI w procesie pisania kodu.

W artykule opisano nową technikę, w której cyberprzestępcy wykorzystali sztuczną inteligencję chatbota do promowania phishingowych oszustw. Zostało to nazwane techniką „Grokking”. Tekst ostrzega przed zagrożeniami wynikającymi z manipulacji botami AI oraz wyjaśnia, dlaczego należy zachować ostrożność i nie ufać automatycznym odpowiedziom wygenerowanym przez takie narzędzia.

Wirus WhatsApp atakuje użytkowników w Brazylii, próbując zainstalować bankowy trojan i kryptowalutowy na komputerach ofiar. Badacze Sophos monitorują i analizują kampanię, w której wykorzystywane są złośliwe pliki i PowerShell. Istnieje podejrzenie związku z poprzednimi atakami przeprowadzanymi w Brazylii za pomocą bankowego trojana Coyote. Organizacje educowane są, aby uważać na podejrzane załączniki otrzymywane za pośrednictwem platform społecznościowych i komunikatorów.

Pliki PDF stają się popularnym narzędziem do ukrywania złośliwego oprogramowania, które może kraść dane i pieniądze. Cyberprzestępcy coraz częściej wykorzystują PDF-y jako przynętę w atakach, wymuszając na ofiarach otwieranie zainfekowanych załączników. Dla bezpieczeństwa warto zachować ostrożność i stosować sprawdzone zasady przy otrzymywaniu i otwieraniu plików PDF.

Przemysł produkcji staje w obliczu wyjątkowo wymagającego środowiska zagrożeń, które sprawiają, że ataki są szczególnie szkodliwe. Produkcja jest sektorem o niskiej tolerancji na przestój, złożonymi łańcuchami dostaw oraz cennymi własnościami intelektualnymi, co stawia IT i liderów ds. bezpieczeństwa przed poważnymi wyzwaniami przestępczości cybernetycznej.

Analiza dotycząca dwóch kampanii rozpowszechniających szpiegowskie oprogramowanie ukrywające się pod aplikacjami Signal i ToTok na platformę Android, skierowanych do użytkowników z Zjednoczonych Emiratów Arabskich. Oprogramowanie to exfiltruje poufne dane z zainfekowanych urządzeń i jest rozpowszechniane za pomocą fałszywych witryn internetowych i inżynierii społecznej. Badacze ESET odkryli rodzinę szkodliwego oprogramowania Android/Spy.ProSpy i Android/Spy.ToSpy działającą jako ulepszenia i wtyczki dla aplikacji komunikacyjnych Signal i ToTok. Znaczącą cechą kampanii jest konieczność instalacji ręcznej z zewnętrznych źródeł, co stanowi potencjalne zagrożenie dla użytkowników zainteresowanych prywatnością.

Październik to Miesiąc Świadomości Cyberbezpieczeństwa, który rozpoczęto przypominając, że członkowie społeczności są pierwszą i kluczową linią obrony przed zagrożeniami cybernetycznymi. Wartościowe treści informacyjne podkreślają wykorzystywanie elementu ludzkiego przez cyberprzestępców oraz rosnące ryzyko związane z wykorzystywaniem narzędzi sztucznej inteligencji. Wpływ ludzkiego błędu na bezpieczeństwo nie jest bagatelizowany, zwłaszcza w dobie oszustw wykorzystujących manipulacje głębokimi fałszywkami.

Tony Anscombe, główny ewangelista bezpieczeństwa ESET, przedstawia przegląd głównych wydarzeń z zakresu cyberbezpieczeństwa z września 2025 roku, zwracając uwagę na potrzebę opracowania planów cyberodporności. Artykuł porusza tematy takie jak ataki APT, działanie inżynierii społecznej, zagrożenia związane z infostealerami oraz konieczność strategii cyber-odporności dla rodzin, domów i małych firm.

Analiza serii zdarzeń związanych z operacją pakowania jako usługi (PaaS) przez HeartCrypt. Badania wykazały, że ataki były przypisywane różnym aktorom zagrożeń. W analizie wykryto tysiące próbek, setki podrobionych dostawców oprogramowania oraz różne metody ataków. Przedstawiono konkretne przypadki ataków i mechanizmy zainfekowania, wskazując na przykłady z Włoch, Kolumbii i innych krajów.

W artykule omówiono ryzyka związane z korzystaniem z narzędzi oszustw w grze Roblox, tzw. script executorów, podając przykłady popularnych narzędzi i ostrzegając przed zagrożeniami związanymi z pobieraniem fałszywych wersji. Przestępcom zależy na dostępie do danych osobowych, środków finansowych oraz kontroli nad urządzeniem, dlatego konieczne jest zachowanie ostrożności i przestrzeganie zasad fair play podczas grania.

Grupa DeceptiveDevelopment podległa Korei Północnej działa od co najmniej 2023 roku, koncentrując się na zyskach finansowych. Ich działania obejmują ataki na programistów wszystkich głównych systemów, a szczególnie tych w projektach związanych z kryptowalutami i Web3. Działają za pomocą innowacyjnych technik inżynierii społecznej, takich jak fałszywe profile rekruterów, aby dostarczyć zainfekowane kodu podczas pozornych rozmów kwalifikacyjnych. Ich typowe narzędzia to infostealery BeaverTail, OtterCookie i WeaselStore, oraz RAT InvisibleFerret.

Powszechne stosowanie plików SVG przez cyberprzestępców jako nośników wirusów staje się coraz bardziej niebezpieczne. Celem kampanii jest zainstalowanie trojana zdalnego dostępu AsyncRAT poprzez bojowe pliki SVG. Atakujący wykorzystują także sztuczną inteligencję do generowania spersonalizowanych plików dla każdego celu. Alertuje się na ryzyko i zaleca ostrożność przy klikaniu w linki i załączniki, szczególnie w przypadku plików SVG.

W artykule przeanalizowano pierwsze znane przypadki współpracy między grupami Gamaredon i Turla w Ukrainie, z wykorzystaniem technik cyberataków. Odkryte zostały działania obu APT grup, Gamaredon, odpowiedzialnej za ataki na instytucje rządowe, i Turla, znanego z cyberszpiegostwa na cele wysokiej rangi. Wskazano na wykorzystanie narzędzi takich jak PteroLNK, PteroStew i Kazuar v3, oraz świadczące o współpracy techniczne wskaźniki. Analiza wskazuje na współpracę między FSB związane z grupami. Dodatkowo ukazano historię współpracy między tymi grupami oraz ich związki z rosyjskimi służbami bezpieczeństwa.

Małe firmy stanowią atrakcyjny cel dla cyberprzestępców, ponieważ są częstszymi ofiarami ransomware niż duże przedsiębiorstwa. Ransomware-as-a-service obniża bariery przestępczości internetowej, a grupy ransomware zmieniają taktykę, wykorzystując coraz nowocześniejsze narzędzia, w tym sztuczną inteligencję. W odpowiedzi na rosnące zagrożenia, SMBs powinny skupić się na prewencji, ocenie ryzyka i możliwości skorzystania z usług zarządzania wykrywaniem i reagowaniem.

Eksperci z ESET odkryli nowy szkodliwy program o nazwie HybridPetya, przypominający znanego Petya/NotPetya, lecz z nowym i groźnym elementem - zdolnością kompromitacji systemów opartych na UEFI oraz wykorzystaniem podatności CVE-2024-7344 w celu ominiecia UEFI Secure Boot na systemach przestarzałych. Mimo że HybridPetya nie rozprzestrzenia się na szeroką skalę, jest co najmniej czwartym znany przypadkiem bootkitu z funkcją omijania UEFI Secure Boot.

HybridPetya to nowe odkrycie ESET Research - złośliwe oprogramowanie będące naśladowcą znanej Petya/NotPetya, zdolne do kompromitacji systemów opartych na UEFI oraz wykorzystującego CVE‑2024‑7344 do omijania UEFI Secure Boot na przestarzałych systemach. Nieaktywne w dziczy, ale potencjalnie groźne ze względu na możliwości szyfrowania MFT oraz bypassowania Secure Boot, wart uwagi dla przyszłego monitorowania zagrożeń.

W artykule opisano wykorzystanie sztucznej inteligencji przez złośliwe oprogramowanie w celu opracowania bardzo skrytych taktyk. Autor zauważa, że wiele działań może spowodować zablokowanie dostępu do witryny, w tym wysłanie określonego słowa lub frazy, polecenia SQL lub źle sformułowanych danych. Zaleca się kontaktowanie się z właścicielem witryny w celu wyjaśnienia powodów blokady.

Badacze cyberbezpieczeństwa odkryli zaawansowaną kampanię złośliwego oprogramowania bez plików, wykorzystującą legalne narzędzia systemowe. Atak umożliwia uruchomienie trojana zdalnego dostępu AsyncRAT, trudnego do wykrycia, analizy czy usunięcia.

Senator Ron Wyden z Oregonu zaapelował do Federalnej Komisji Handlu o dochodzenie w sprawie luk w cyberbezpieczeństwie Microsoftu, związanych z atakiem ransomware na krytyczną infrastrukturę USA. Atak na Ascension, jedną z największych systemów szpitalnych w kraju, rozpoczął się od kliknięcia przez kontrahenta złośliwego linku w wynikach wyszukiwania Bing, infekując jego laptopa. Wykorzystując wysłużone szyfrowanie RC4, hakerzy uzyskali dostęp do sieci Ascension i narażając dane 5,6 miliona pacjentów.

Senator Ron Wyden wezwał Federalną Komisję Handlu do zbadania Microsoftu i pociągnięcia go do odpowiedzialności za tzw. 'rażące zaniedbania w cyberbezpieczeństwie', które umożliwiły ataki ransomware na krytyczną infrastrukturę USA, w tym sieci służby zdrowia.

Senator Ron Wyden zaapelował do Federalnej Komisji Handlu (FTC) o dochodzenie w sprawie Microsoftu w związku z zarzutami dotyczącymi 'rażącego zaniedbania w cyberbezpieczeństwie', które umożliwiły ataki ransomware na krytyczną infrastrukturę USA, w tym sieci opieki zdrowotnej.

Chińska grupa APT zainfekowała filipińską firmę wojskową innowacyjnym, zaawansowanym narzędziem do zagrożeń bez plików o nazwie „EggStreme”, umożliwiającymi szpiegostwo na niskim profilu.

Grupa ransomware Akira nadal skupia się na atakach na urządzenia SonicWall, wykorzystując lukę w SSL VPN oraz błędy konfiguracyjne do nieautoryzowanego dostępu. Zalecane środki ostrożności obejmują zmianę haseł, usuwanie nieużywanych kont, konfigurację MFA oraz ograniczenie dostępu do portalu Virtual Office.

Aktorzy groźby związani z grupą ransomware Akira nadal atakują urządzenia SonicWall w celu uzyskania początkowego dostępu. Firmy z branży cyberbezpieczeństwa obserwują wzrost naruszeń związanych z urządzeniami SonicWall w związku z wykorzystaniem słabego punktu żetonowania SSL VPN oraz błędów konfiguracyjnych przez hakerów ransomware Akira.

Volodymyr Tymoshchuk, 28-letni Ukrainer, został dodany do listy najbardziej poszukiwanych przestępców w Europie z powodu udziału w atakach ransomware LockerGoga, które spowodowały znaczne szkody. Po wielomiesięcznej akcji Europolu i innych służb kilka osób zostało już aresztowanych w związku z tą sprawą.

Badacze cyberbezpieczeństwa ujawnili dwie kampanie wykorzystujące fałszywe rozszerzenia przeglądarek do kradzieży danych. Cyberprzestępcy wykorzystują malwersacje oraz fałszywe strony internetowe, aby zdobyć poufne informacje użytkowników, a następnie wykorzystać je do dalszych działań przestępczych.

Badacze cyberbezpieczeństwa ujawnili dwie nowe kampanie wykorzystujące fałszywe rozszerzenia przeglądarek do kradzieży danych wrażliwych z kont biznesowych Meta. Atakujący wykorzystując metody malvertisingu i fałszywe strony internetowe próbują ukraść dane logowania i sesyjne, a następnie sprzedawać lub wykorzystywać je do kolejnych ataków, tworząc samopowielbiający się cykl zagrożeń.