Archiwa: Security News - Strona 10 z 259 - Security Bez Tabu

Kategoria: Security News

JanelaRAT atakuje banki w Ameryce Łacińskiej: phishing, DLL side-loading i przejęcie sesji użytkownika

Cybersecurity news

Wprowadzenie do problemu / definicja

JanelaRAT to złośliwe oprogramowanie typu remote access trojan (RAT), które od początku było projektowane z myślą o atakach na użytkowników usług finansowych. Zagrożenie jest szczególnie aktywne w Ameryce Łacińskiej, przede wszystkim w Brazylii i Meksyku, gdzie operatorzy prowadzą kampanie wymierzone w klientów banków oraz osoby korzystające z usług finansowych i kryptowalutowych.

Charakterystyczną cechą JanelaRAT jest połączenie funkcji klasycznego trojana bankowego z możliwościami zdalnej administracji nad zainfekowanym systemem. Oznacza to, że malware nie ogranicza się do biernej kradzieży danych, lecz może aktywnie obserwować użytkownika, analizować jego działania i ingerować w przebieg sesji bankowej.

W skrócie

W 2025 roku odnotowano 14 739 prób ataku JanelaRAT w Brazylii oraz 11 695 w Meksyku, co pokazuje skalę i konsekwencję prowadzonych kampanii. Ataki rozpoczynają się najczęściej od wiadomości phishingowych podszywających się pod niezapłacone faktury lub dokumenty finansowe.

  • kampanie wykorzystują archiwa ZIP i wieloetapowy łańcuch infekcji,
  • obecne warianty stosują instalatory MSI jako droppery,
  • do uruchamiania malware wykorzystywana jest technika DLL side-loading,
  • trwałość w systemie bywa osiągana przez skróty LNK w folderze autostartu,
  • malware monitoruje aktywne okna i reaguje na uruchomienie usług bankowych.

Kontekst / historia

JanelaRAT został publicznie opisany w 2023 roku jako zagrożenie powiązane z rodziną BX RAT. W pierwszych analizach wskazywano wykorzystanie archiwów ZIP zawierających skrypty Visual Basic Script, które pobierały kolejne komponenty i finalnie uruchamiały trojana z użyciem DLL side-loading.

Z czasem operatorzy zmienili sposób dostarczania ładunku. Od co najmniej maja 2024 roku zaobserwowano przesunięcie w stronę instalatorów MSI, które pełnią funkcję dropperów i inicjują kolejne etapy infekcji. W analizach pojawiały się również elementy napisane w Go, PowerShell oraz skryptach batch, co wskazuje na stopniowy rozwój zaplecza operacyjnego i zwiększanie odporności kampanii na detekcję.

Taka ewolucja pokazuje, że JanelaRAT nie jest pojedynczą, krótkotrwałą kampanią, lecz aktywnie utrzymywanym narzędziem cyberprzestępczym. Operatorzy regularnie modyfikują techniki dostarczania i uruchamiania malware, aby zwiększyć skuteczność ataków oraz utrudnić pracę systemom ochronnym.

Analiza techniczna

Łańcuch infekcji zwykle zaczyna się od phishingu. Ofiara otrzymuje wiadomość, która zachęca do kliknięcia odnośnika związanego z rzekomą fakturą, rozliczeniem lub pilnym dokumentem. Następnie pobierane jest archiwum ZIP albo inny zasób inicjujący dalsze etapy instalacji.

Po uruchomieniu pakietu rozpoczyna się wieloetapowy proces, w którym wykorzystywane są skrypty i legalne komponenty systemowe. Końcowym elementem jest często załadowanie złośliwej biblioteki DLL przez legalny plik wykonywalny. Dzięki technice DLL side-loading aktywność trojana zostaje ukryta w kontekście zaufanego procesu, co utrudnia wykrycie przez rozwiązania oparte wyłącznie na prostych sygnaturach.

Po instalacji JanelaRAT nawiązuje komunikację z serwerem C2 przez gniazdo TCP, rejestruje infekcję i rozpoczyna analizę środowiska ofiary. Jednym z kluczowych mechanizmów jest monitorowanie tytułu aktywnego okna. Jeśli nazwa otwartego okna odpowiada zapisanej w kodzie liście instytucji finansowych lub usług powiązanych z bankowością, malware może uruchomić dodatkowy kanał komunikacji i umożliwić operatorowi wykonanie zdalnych działań.

Funkcjonalnie JanelaRAT łączy cechy trojana bankowego, narzędzia do zdalnego dostępu i modułu nadzorującego zachowanie użytkownika. Do przypisywanych mu możliwości należą:

  • wykonywanie i wysyłanie zrzutów ekranu,
  • wycinanie fragmentów ekranu i ich eksfiltracja,
  • przechwytywanie naciśnięć klawiszy,
  • symulowanie działań myszy i klawiatury,
  • uruchamianie poleceń przez cmd.exe i PowerShell,
  • wyświetlanie fałszywych komunikatów oraz pełnoekranowych nakładek,
  • zbieranie metadanych systemowych,
  • wykrywanie środowisk sandbox i narzędzi analitycznych,
  • rozpoznawanie systemów antyfraudowych.

Istotnym elementem działania najnowszych wariantów jest także monitorowanie aktywności użytkownika. Malware sprawdza czas od ostatniej interakcji z systemem i przekazuje operatorowi informację o okresach bezczynności. To pozwala lepiej dobrać moment przeprowadzenia zdalnych operacji, zwłaszcza tych, które wymagają mniejszego ryzyka zauważenia przez ofiarę.

W poprzednich analizach wskazywano również możliwość wykorzystania złośliwego rozszerzenia dla przeglądarek opartych na Chromium. Taki komponent może zwiększać zakres zbieranych danych o historię przeglądania, pliki cookie, informacje o kartach i listę rozszerzeń, a także wspierać manipulowanie uruchomieniem przeglądarki podczas sesji bankowej.

Konsekwencje / ryzyko

JanelaRAT stanowi poważne zagrożenie zarówno dla klientów banków, jak i dla samych instytucji finansowych. Ryzyko nie kończy się na kradzieży loginów i haseł. Malware potrafi aktywnie ingerować w sesję użytkownika, wyświetlać fałszywe komunikaty oraz wykonywać działania sterowane zdalnie, co znacząco zwiększa skuteczność oszustw finansowych.

Najpoważniejsze konsekwencje obejmują przejęcie poświadczeń, kradzież danych bankowych i kryptowalutowych, manipulację interfejsem użytkownika oraz prowadzenie oszustw w czasie rzeczywistym. Zdolność do wykrywania narzędzi antyfraudowych sugeruje ponadto, że operatorzy starają się adaptacyjnie omijać istniejące mechanizmy obronne.

Z perspektywy organizacji szczególnie niebezpieczne jest połączenie phishingu, legalnych plików binarnych, skryptów wieloetapowych i mechanizmów trwałości. Taki model działania utrudnia detekcję, jeśli monitoring ogranicza się wyłącznie do pojedynczych wskaźników kompromitacji.

Rekomendacje

Ograniczenie ryzyka związanego z JanelaRAT wymaga podejścia wielowarstwowego. Ochrona powinna obejmować zarówno pocztę elektroniczną, jak i endpointy, przeglądarki, ruch sieciowy oraz analizę zachowań użytkownika.

  • wzmacniać ochronę poczty przed phishingiem i analizować podejrzane załączniki oraz odnośniki,
  • stosować sandboxing dla wiadomości związanych z fakturami i dokumentami finansowymi,
  • monitorować uruchamianie instalatorów MSI z nietypowych lokalizacji,
  • wykrywać przypadki DLL side-loading i ładowania nieoczekiwanych bibliotek,
  • analizować tworzenie skrótów LNK w folderach autostartu Windows,
  • kontrolować nietypowe sekwencje uruchamiania PowerShell, cmd.exe i skryptów batch,
  • rejestrować manipulacje parametrami startowymi przeglądarek i ładowanie niestandardowych rozszerzeń,
  • budować reguły behawioralne łączące phishing, pobranie ZIP, uruchomienie legalnego EXE i załadowanie złośliwej DLL,
  • monitorować procesy wykonujące zrzuty ekranu, symulujące wejście użytkownika i komunikujące się z C2,
  • szkolić użytkowników końcowych w rozpoznawaniu prób phishingu.

Dla zespołów SOC i threat huntingu szczególnie wartościowe będzie wykrywanie procesów reagujących na tytuły aktywnych okien, obserwacja anomalii w interfejsie użytkownika oraz identyfikacja wzorców wskazujących na przejęcie sesji bankowej lub użycie ekranowych nakładek.

Podsumowanie

JanelaRAT to rozwijające się zagrożenie bankowe, które skutecznie łączy phishing, techniki living-off-the-land, DLL side-loading oraz aktywne przejmowanie interakcji użytkownika. Skala kampanii w Brazylii i Meksyku pokazuje, że operatorzy dysponują dojrzałym zapleczem technicznym i dobrze rozumieją specyfikę lokalnych celów.

Najgroźniejszym elementem tego malware nie jest wyłącznie kradzież danych, lecz zdolność do obserwowania ofiary, wykrywania momentów aktywności i zdalnego wpływania na legalną sesję finansową. Obrona przed takim zagrożeniem wymaga korelacji telemetryki z wielu warstw oraz połączenia klasycznych zabezpieczeń z analizą behawioralną.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/04/janelarat-malware-targets-latin.html
  2. Kaspersky Securelist — https://securelist.com/janelarat-banking-trojan-targeting-latin-america/116806/
  3. Zscaler ThreatLabz — https://www.zscaler.com/blogs/security-research/janelarat-brazilian-banking-trojan
  4. KPMG — https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2025/07/janelarat-analysis.pdf

BrowserGate i LinkedIn: wykrywanie rozszerzeń przeglądarki pod lupą ekspertów

Cybersecurity news

Wprowadzenie do problemu / definicja

Spór określany jako „BrowserGate” dotyczy mechanizmu wykorzystywanego podczas korzystania z LinkedIn w przeglądarkach opartych na Chromium. Sednem kontrowersji jest wykrywanie obecności wybranych rozszerzeń przeglądarki po stronie klienta z użyciem JavaScript.

Krytycy uznali takie działanie za potencjalnie inwazyjną formę profilowania użytkowników i naruszenie prywatności. Z kolei część badaczy bezpieczeństwa wskazuje, że chodzi raczej o technikę typu resource probing niż klasyczne skanowanie komputera czy złośliwe działanie.

W skrócie

LinkedIn został oskarżony o ciche sprawdzanie obecności tysięcy rozszerzeń przeglądarki. Według publicznych zarzutów mechanizm mógł służyć do identyfikacji narzędzi używanych przez użytkowników oraz pośrednio wspierać tworzenie ich profili behawioralnych.

Niezależne analizy techniczne sugerują jednak, że nie chodziło o pełne skanowanie systemu operacyjnego ani przeglądanie plików użytkownika. Mechanizm miał raczej umożliwiać ustalenie, czy konkretne rozszerzenia są zainstalowane, co nie usuwa jednak pytań o przejrzystość, proporcjonalność i zgodność z regulacjami prywatności.

Kontekst / historia

Temat zyskał rozgłos po publikacjach oskarżających LinkedIn o ukryte monitorowanie środowiska przeglądarki. W centrum zarzutów znalazła się teza, że serwis mógł testować bardzo szeroką listę identyfikatorów rozszerzeń, co według krytyków tworzyło podstawy do fingerprintingu użytkowników.

Sprawa pojawiła się w szerszym kontekście regulacyjnym związanym z ochroną prywatności i odpowiedzialnością dużych platform cyfrowych. Dodatkowo zainteresowała środowisko cyberbezpieczeństwa, ponieważ wiele wykrywanych rozszerzeń miało funkcje automatyzacji, scrapingu lub obchodzenia ograniczeń serwisu.

To właśnie ten aspekt otworzył debatę, czy analizowany mechanizm był przede wszystkim narzędziem obronnym przeciw nadużyciom, czy też przykładem zbyt daleko idącej telemetrii po stronie platformy.

Analiza techniczna

Z technicznego punktu widzenia mechanizm polegał na sprawdzaniu, czy przeglądarka potrafi uzyskać dostęp do zasobów charakterystycznych dla konkretnych rozszerzeń. Taka metoda jest znana jako resource probing i opiera się na testowaniu obecności określonych identyfikatorów rozszerzeń poprzez odwołania do ich publicznie dostępnych zasobów.

W praktyce pozwala to stwierdzić, że dane rozszerzenie prawdopodobnie jest zainstalowane, ale nie daje pełnego obrazu całego środowiska końcowego użytkownika. Skuteczność zależy od architektury rozszerzenia, jego manifestu, zakresu ujawnianych zasobów oraz polityki bezpieczeństwa samej przeglądarki.

Oznacza to, że nawet przy bardzo długiej liście testowanych identyfikatorów realna wykrywalność mogła być zauważalnie niższa niż sugerowały najbardziej alarmistyczne interpretacje. Nie zmienia to jednak faktu, że sama próba identyfikacji rozszerzeń może stanowić element technicznego profilowania urządzenia lub przeglądarki.

Badacze zwracali również uwagę, że wiele sprawdzanych dodatków było powiązanych z automatyzacją, ekstrakcją danych i masowym pobieraniem informacji z platform społecznościowych. Z perspektywy operatora usługi wykrywanie takich narzędzi może wspierać ochronę przed scrapingiem, nadużyciami kont, obchodzeniem limitów i naruszeniami regulaminu.

  • Mechanizm nie oznaczał pełnego skanowania systemu operacyjnego.
  • Nie wskazano dowodów na malware ani przejęcie kontroli nad urządzeniem.
  • Technika mogła jednak służyć do identyfikacji konkretnych klas rozszerzeń.
  • W praktyce taki model może być postrzegany jako element fingerprintingu przeglądarki.

Konsekwencje / ryzyko

Najważniejsze ryzyko dotyczy prywatności użytkowników. Zestaw zainstalowanych rozszerzeń może pośrednio ujawniać informacje o sposobie pracy, używanych narzędziach biznesowych, zainteresowaniach, a czasem nawet o bardziej wrażliwych cechach wynikających z charakteru dodatków.

Drugim obszarem ryzyka jest zgodność regulacyjna. W wielu jurysdykcjach informacje o konfiguracji przeglądarki mogą zostać uznane za dane osobowe lub element identyfikacji urządzenia, a ich pozyskiwanie bez odpowiedniej podstawy prawnej i transparentnej informacji dla użytkownika może prowadzić do zarzutów naruszenia przepisów o prywatności.

Trzeci problem dotyczy bezpieczeństwa operacyjnego i relacji między platformami a twórcami narzędzi automatyzujących. Masowe wdrażanie podobnych technik może doprowadzić do wyścigu zbrojeń, w którym dostawcy usług rozwijają coraz bardziej zaawansowaną telemetrię, a twórcy dodatków próbują ją omijać.

Rekomendacje

Organizacje powinny traktować rozszerzenia przeglądarek jako pełnoprawny element powierzchni ataku. W praktyce oznacza to wdrożenie polityki dopuszczania wyłącznie zaufanych dodatków, regularny przegląd listy rozszerzeń oraz blokowanie narzędzi o niejasnym pochodzeniu lub nadmiernych uprawnieniach.

Zespoły bezpieczeństwa powinny monitorować, jakie rozszerzenia są używane do pracy z platformami SaaS i mediami społecznościowymi. Warto stosować listy dozwolonych rozszerzeń, centralne zarządzanie politykami przeglądarek oraz dodatkową telemetrykę pozwalającą wykrywać dodatki niezgodne z polityką organizacji.

Po stronie dostawców usług internetowych kluczowa pozostaje przejrzystość. Jeżeli wykrywanie rozszerzeń jest stosowane jako mechanizm przeciwdziałania nadużyciom, użytkownik powinien zostać o tym jasno poinformowany, a zakres i cel przetwarzania powinny być ograniczone do minimum niezbędnego dla bezpieczeństwa.

Użytkownicy indywidualni powinni ograniczyć liczbę zainstalowanych dodatków, usuwać rozszerzenia nieużywane oraz dokładnie analizować przyznawane im uprawnienia. Narzędzia obiecujące masową automatyzację działań, scraping kontaktów lub omijanie ograniczeń platform należy traktować jako rozwiązania podwyższonego ryzyka.

Podsumowanie

BrowserGate pokazuje, jak cienka jest granica między uzasadnionymi mechanizmami obronnymi a kontrowersyjną telemetrią. Dostępne analizy wskazują, że opisywane działanie LinkedIn nie było klasycznym skanowaniem komputera, lecz techniką wykrywania obecności określonych rozszerzeń przeglądarki.

To jednak nie zamyka dyskusji o legalności, proporcjonalności i transparentności takiego działania. Dla branży cyberbezpieczeństwa kluczowy wniosek jest podwójny: rozszerzenia przeglądarki pozostają istotnym wektorem ryzyka, a ich wykrywanie przez platformy musi być oceniane zarówno technicznie, jak i pod kątem prywatności oraz zgodności regulacyjnej.

Źródła

  1. SecurityWeek — https://www.securityweek.com/browsergate-claims-of-linkedin-spying-clash-with-security-research-findings/
  2. BrowserGate — https://browsergate.eu/
  3. Digital Markets Act — European Commission — https://digital-markets-act.ec.europa.eu/

Atak na CPUID: trojanizowane instalatory CPU-Z i HWMonitor rozprowadzały malware STX RAT

Cybersecurity news

Wprowadzenie do problemu / definicja

Incydent związany z kompromitacją serwisu CPUID pokazuje, że nawet powszechnie zaufane narzędzia diagnostyczne mogą stać się skutecznym wektorem ataku typu supply chain. Użytkownicy pobierający CPU-Z, HWMonitor oraz PerfMonitor z oficjalnej strony mogli otrzymać zmodyfikowane instalatory zawierające złośliwy kod, który prowadził do infekcji systemów Windows malware klasy RAT i infostealerem określanym jako STX RAT.

To szczególnie niebezpieczny scenariusz, ponieważ atak wykorzystuje zaufanie do renomowanego dostawcy i legalnego kanału dystrybucji. W praktyce oznacza to, że nawet ostrożny użytkownik, pobierający oprogramowanie z oficjalnej witryny, mógł paść ofiarą infekcji.

W skrócie

  • W kwietniu 2026 roku naruszono oficjalną witrynę CPUID.
  • Część linków do pobierania została podmieniona i prowadziła do zainfekowanych pakietów.
  • Oryginalne, podpisane pliki producenta nie zostały bezpośrednio zmodyfikowane.
  • Trojanizowane instalatory dostarczały legalne aplikacje wraz ze złośliwą biblioteką DLL.
  • Infekcja wykorzystywała technikę DLL sideloading do uruchomienia STX RAT.
  • Zagrożenie umożliwiało zdalny dostęp do hosta oraz kradzież danych i poświadczeń.

Kontekst / historia

CPUID to dobrze znany producent narzędzi do identyfikacji sprzętu i monitorowania parametrów systemu. Programy takie jak CPU-Z i HWMonitor są szeroko stosowane przez administratorów, serwisantów, overclockerów i użytkowników indywidualnych. Ich popularność sprawia, że stanowią atrakcyjny cel dla cyberprzestępców prowadzących operacje wymierzone w łańcuch dostaw oprogramowania.

W omawianym przypadku kompromitacja nie dotyczyła bezpośrednio samych binariów producenta, lecz mechanizmu odpowiedzialnego za prezentowanie lub generowanie linków do pobrania. To ważne rozróżnienie, ponieważ atakujący wykorzystali infrastrukturę dystrybucji w taki sposób, aby ofiara nadal miała wrażenie pobierania autentycznego oprogramowania z wiarygodnego źródła.

Dodatkowym wyzwaniem pozostają rozbieżności w ocenie czasu trwania incydentu. Według części informacji zdarzenie miało trwać około sześciu godzin, natomiast analizy bezpieczeństwa sugerują szersze okno aktywności. Takie różnice są typowe dla świeżych incydentów i zwykle wynikają z odmiennych źródeł telemetrycznych oraz różnych definicji początku kompromitacji.

Analiza techniczna

Kluczowym elementem ataku była kompromitacja backendu odpowiedzialnego za dystrybucję linków do pobierania. Z perspektywy użytkownika cały proces wyglądał wiarygodnie: odwiedzał oficjalną stronę produktu, klikał przycisk pobrania i otrzymywał instalator lub archiwum ZIP. Problem polegał na tym, że w określonym czasie witryna kierowała część użytkowników do zasobów kontrolowanych przez napastników.

Dostarczane pakiety zawierały prawidłową aplikację oraz dodatkowy plik cryptbase.dll, który nie był legalnym modułem systemowym, lecz złośliwym komponentem uruchamianym metodą DLL sideloading. Technika ta polega na wykorzystaniu sposobu, w jaki aplikacja wyszukuje biblioteki DLL. Jeżeli w katalogu programu znajduje się plik o oczekiwanej nazwie, aplikacja może załadować go zamiast właściwej biblioteki, umożliwiając wykonanie złośliwego kodu bez zakłócania działania legalnego programu.

To podejście znacząco utrudnia wykrycie incydentu. Użytkownik nadal widzi uruchomione i działające narzędzie diagnostyczne, podczas gdy równolegle wykonywany jest malware. Końcowy ładunek, STX RAT, łączy funkcje zdalnego dostępu z możliwościami kradzieży danych. Według analiz koncentruje się on na pozyskiwaniu haseł zapisanych w przeglądarkach, danych z portfeli kryptowalutowych, poświadczeń klientów FTP i innych wrażliwych artefaktów obecnych na stacji roboczej.

Atak można postrzegać jako połączenie dwóch modeli działania. Z jednej strony jest to klasyczny incydent supply chain, ponieważ wykorzystano zaufany kanał dostarczania oprogramowania. Z drugiej strony ma on cechy watering hole, ponieważ użytkownicy byli infekowani podczas odwiedzania popularnej, legalnej strony internetowej używanej przez określoną grupę techniczną.

Konsekwencje / ryzyko

Ryzyko związane z tym incydentem wykracza daleko poza pojedyncze zainfekowanie komputera. CPU-Z i HWMonitor są często uruchamiane przez osoby techniczne, które mają dostęp do wrażliwych środowisk, narzędzi administracyjnych i danych uwierzytelniających. W rezultacie kompromitacja takiego hosta może stać się punktem wyjścia do dalszych działań w sieci organizacji.

Najważniejsze zagrożenia obejmują:

  • kradzież haseł zapisanych w przeglądarkach,
  • pozyskanie danych z portfeli kryptowalutowych i klientów FTP,
  • uzyskanie trwałego zdalnego dostępu do systemu,
  • możliwość ruchu lateralnego w sieci firmowej,
  • obejście czujności użytkownika dzięki wykorzystaniu legalnego oprogramowania,
  • utrudnioną detekcję z uwagi na równoległe działanie prawidłowej aplikacji.

Dla przedsiębiorstw szczególnie istotne jest to, że potencjalne ofiary mogły znajdować się również w środowiskach korporacyjnych. Nawet jeżeli liczba potwierdzonych przypadków nie była ogromna, skala potencjalnej ekspozycji pozostaje duża ze względu na popularność narzędzi CPUID.

Rekomendacje

Użytkownicy i organizacje, które pobierały narzędzia CPUID w okolicach 9–10 kwietnia 2026 roku, powinny traktować swoje systemy jako potencjalnie skompromitowane. W takiej sytuacji nie należy ograniczać się wyłącznie do usunięcia programu, lecz przeprowadzić pełną analizę bezpieczeństwa hosta.

  • Zidentyfikować wszystkie stacje, na których pobrano lub uruchomiono CPU-Z, HWMonitor, HWMonitor Pro albo PerfMonitor w czasie okna kompromitacji.
  • Odizolować podejrzane hosty od sieci do czasu zakończenia analizy.
  • Sprawdzić katalogi instalacyjne pod kątem nieautoryzowanych bibliotek DLL, szczególnie plików podszywających się pod moduły systemowe.
  • Przeanalizować logi EDR, Sysmon i Windows Event Logs pod kątem nietypowego ładowania bibliotek oraz połączeń wychodzących.
  • Zresetować hasła przechowywane w przeglądarkach oraz przeprowadzić rotację poświadczeń uprzywilejowanych.
  • Wymusić ponowne logowanie do VPN, klientów FTP, kont administracyjnych i usług deweloperskich.
  • Przeskanować systemy przy użyciu aktualnych sygnatur AV i detekcji behawioralnych związanych ze STX RAT oraz DLL sideloading.
  • Rozważyć pełną reinstalację systemu, jeśli podejrzany instalator został uruchomiony na hoście z dostępem do zasobów krytycznych.
  • Wdrożyć dodatkową kontrolę integralności kanałów pobierania, w tym weryfikację hashy i polityki allowlisting.
  • Ograniczyć użycie narzędzi diagnostycznych na kontach uprzywilejowanych i oddzielić środowiska administracyjne od codziennej pracy użytkownika.

Długoterminowo incydent ten pokazuje, że samo pobranie pliku z oficjalnej strony nie powinno być uznawane za wystarczający dowód bezpieczeństwa. Konieczne jest łączenie zaufania do źródła z kontrolą podpisów cyfrowych, sum kontrolnych oraz monitorowaniem zachowania aplikacji po uruchomieniu.

Podsumowanie

Atak na CPUID jest wyraźnym przykładem nadużycia zaufanego kanału dystrybucji oprogramowania do rozprowadzania malware bez modyfikowania oryginalnych binariów producenta. Użytkownik mógł pobrać pakiet wyglądający na legalny i pochodzący z oficjalnej strony, a mimo to uruchomić złośliwy kod prowadzący do infekcji STX RAT.

Z perspektywy obrony najważniejsze są szybka identyfikacja potencjalnie zagrożonych hostów, analiza śladów DLL sideloading, rotacja poświadczeń i przyjęcie założenia, że każda stacja z podejrzanego okresu może być przejęta. Incydent ten stanowi ważne ostrzeżenie dla zespołów bezpieczeństwa i potwierdza, że ochrona łańcucha dostaw musi obejmować nie tylko sam kod aplikacji, ale również infrastrukturę publikacji i mechanizmy dostarczania plików.

Źródła

  1. SecurityWeek
  2. Tom’s Hardware
  3. PurpleOps

Forensyka iPhone’a ujawnia wiadomości Signal po usunięciu aplikacji

Cybersecurity news

Wprowadzenie do problemu / definicja

Najnowsze ustalenia z amerykańskiego postępowania karnego pokazują, że usunięcie aplikacji Signal z iPhone’a nie musi oznaczać całkowitego zniknięcia śladów komunikacji. Nie chodzi przy tym o złamanie szyfrowania end-to-end, lecz o artefakty systemowe iOS, które mogą przechowywać treść przychodzących powiadomień.

To istotne przypomnienie, że prywatność mobilna zależy nie tylko od samej aplikacji, ale również od sposobu działania systemu operacyjnego, obsługi notyfikacji oraz mechanizmów lokalnego przechowywania danych.

W skrócie

W analizowanej sprawie śledczy mieli odzyskać przychodzące wiadomości Signal z iPhone’a nawet po odinstalowaniu aplikacji. Z dostępnych informacji wynika, że dane nie pochodziły bezpośrednio z bazy komunikatora, lecz z systemowej warstwy powiadomień iOS.

Oznacza to, że znikające wiadomości oraz usunięcie aplikacji nie gwarantują pełnego usunięcia wszystkich artefaktów z urządzenia. Szczególnie ważne jest to, że odzyskano wyłącznie wiadomości przychodzące, co odpowiada sposobowi działania powiadomień push w ekosystemie Apple.

Kontekst / historia

Przez lata wielu użytkowników bezpiecznych komunikatorów zakładało, że szyfrowanie end-to-end i funkcja znikających wiadomości zapewniają pełne usunięcie treści po ich skasowaniu. W praktyce model bezpieczeństwa współczesnych smartfonów jest znacznie bardziej złożony.

Aplikacja może kontrolować własną bazę danych i sposób prezentacji wiadomości, ale nie zarządza wszystkimi komponentami systemu operacyjnego odpowiedzialnymi za powiadomienia, historię interakcji, pamięć podręczną czy logi. W efekcie część danych może zostać zapisana poza bezpośrednią kontrolą twórców komunikatora.

Opisywany przypadek wpisuje się w dobrze znany problem forensyki mobilnej: wiele informacji pozostaje dostępnych nie dlatego, że naruszono kryptografię, ale dlatego, że urządzenie wcześniej samo odszyfrowało i przetworzyło dane na potrzeby użytkownika.

Analiza techniczna

Kluczowym elementem jest ścieżka dostarczania wiadomości przychodzących. Gdy użytkownik odbiera komunikat w aplikacji takiej jak Signal, iOS może obsługiwać jego prezentację przez infrastrukturę powiadomień push. Jeśli konfiguracja pozwala na wyświetlenie treści lub podglądu wiadomości, fragment danych może trafić do systemowych baz odpowiedzialnych za obsługę notyfikacji.

Z technicznego punktu widzenia nie oznacza to kompromitacji protokołu Signal. Szyfrowanie transmisji i wymiany wiadomości pozostaje nienaruszone. Problem pojawia się na końcowym etapie przetwarzania, gdy urządzenie odbiorcy musi odszyfrować komunikat i wyświetlić go użytkownikowi.

To wyjaśnia również, dlaczego według opisu sprawy odzyskano wyłącznie wiadomości przychodzące. Wiadomości wychodzące nie przechodzą przez identyczny mechanizm tworzenia lokalnych śladów w systemowej bazie powiadomień, dlatego nie pozostawiają tego samego typu artefaktów.

W praktyce odzyskiwanie takich danych może odbywać się poprzez logiczną akwizycję, analizę kopii zapasowych, ekstrakcję systemowych baz SQLite albo wykorzystanie komercyjnych narzędzi śledczych używanych przez organy ścigania. Znaczenie ma także stan urządzenia po pierwszym odblokowaniu po restarcie, ponieważ wtedy większa część danych systemowych może być dostępna dla legalnych metod analizy.

Konsekwencje / ryzyko

Dla użytkowników indywidualnych główny wniosek jest prosty: znikająca wiadomość nie zawsze oznacza brak pozostałości na urządzeniu końcowym. Ryzyko rośnie zwłaszcza wtedy, gdy treść powiadomień jest widoczna na ekranie blokady lub gdy telefon trafia w ręce podmiotu zdolnego do przeprowadzenia analizy śledczej.

  • włączone są podglądy treści powiadomień na ekranie blokady,
  • urządzenie trafia w ręce podmiotu zdolnego do wykonania analizy forensycznej,
  • istnieją kopie zapasowe zawierające artefakty systemowe,
  • użytkownik zakłada, że usunięcie aplikacji automatycznie usuwa wszystkie dane związane z jej użyciem.

Dla organizacji problem ma jeszcze szerszy wymiar. Poufna komunikacja pracowników może pozostawiać ślady poza aplikacją, co wpływa na polityki BYOD, procedury reagowania na incydenty, model ochrony informacji oraz obowiązki compliance w sektorach regulowanych.

Rekomendacje

Podstawową rekomendacją jest ograniczenie ekspozycji treści w powiadomieniach. W praktyce oznacza to wyłączenie podglądu wiadomości na ekranie blokady oraz korzystanie z ustawień ukrywających zawartość notyfikacji. Choć obniża to wygodę, znacząco redukuje ryzyko zapisania czytelnej treści w systemowych artefaktach.

W środowiskach firmowych warto dodatkowo wdrożyć szersze środki ochronne:

  • wymuszać polityki MDM ograniczające wyświetlanie treści powiadomień,
  • szyfrować i kontrolować kopie zapasowe urządzeń mobilnych,
  • wdrożyć procedury bezpiecznego wycofywania urządzeń z użycia,
  • szkolić użytkowników z różnicy między szyfrowaniem transmisji a ochroną danych lokalnych,
  • uwzględnić artefakty mobilne w analizie ryzyka i planach reagowania na incydenty.

Z perspektywy bezpieczeństwa kluczowe jest myślenie o całym stosie ochronnym: aplikacji, systemie operacyjnym, konfiguracji urządzenia, kopiach zapasowych i fizycznym bezpieczeństwie endpointu.

Podsumowanie

Opisana sprawa pokazuje wyraźną różnicę między bezpieczeństwem kryptograficznym a bezpieczeństwem operacyjnym urządzenia. Signal nie został złamany, ale wiadomości mogły zostać odzyskane z artefaktów iOS związanych z obsługą powiadomień.

To ważny sygnał dla użytkowników i zespołów bezpieczeństwa: usunięcie aplikacji oraz znikające wiadomości nie gwarantują pełnego usunięcia danych z telefonu. O poziomie prywatności decyduje nie tylko sam komunikator, ale także sposób, w jaki system operacyjny przechowuje i prezentuje informacje.

Źródła

  1. Security Affairs — https://securityaffairs.com/190740/security/iphone-forensics-expose-signal-messages-after-app-removal-in-u-s-case.html
  2. 404 Media — https://www.404media.co/fbi-signal-message-copies-pulled-from-iphone-after-app-deleted/
  3. Andrea Fortuna — https://andreafortuna.org/2026/04/13/fbi-forensics-signal-messages-on-iphone-after-app-deletion/

Operation Atlantic: zamrożenie 12 mln dolarów ujawnia skalę oszustw kryptowalutowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Międzynarodowa operacja organów ścigania wymierzona w oszustwa inwestycyjne i kryptowalutowe po raz kolejny pokazała, że przestępczość finansowa oparta na aktywach cyfrowych pozostaje jednym z najpoważniejszych zagrożeń dla użytkowników indywidualnych. W centrum sprawy znalazł się mechanizm określany jako approval phishing, czyli oszustwo nakłaniające ofiarę do nadania złośliwego uprawnienia portfelowi lub inteligentnemu kontraktowi, co umożliwia późniejsze przejęcie środków bez ponownej autoryzacji.

W skrócie

W ramach Operation Atlantic zamrożono ponad 12 mln dolarów i zidentyfikowano ponad 20 tys. ofiar. Śledczy powiązali sprawę z ponad 45 mln dolarów podejrzewanych strat na całym świecie. Działania były koordynowane przez brytyjską National Crime Agency przy współpracy partnerów z USA i Kanady.

Operacja koncentrowała się na identyfikacji osób, które utraciły środki lub były narażone na ich utratę w wyniku approval phishingu oraz powiązanych oszustw inwestycyjnych. Według najnowszych danych FBI oszustwa związane z kryptowalutami odpowiadają już za ponad 11,3 mld dolarów zgłoszonych strat, z czego około 7,2 mld dolarów dotyczy samych oszustw inwestycyjnych.

Kontekst / historia

Oszustwa kryptowalutowe od kilku lat przechodzą wyraźną ewolucję. Początkowo dominowały proste schematy podszywania się pod giełdy, fałszywe airdropy i klasyczne kampanie phishingowe. Z czasem przestępcy zaczęli wykorzystywać cechy charakterystyczne ekosystemu Web3: nieodwracalność transakcji, pseudonimowość adresów, łatwość tworzenia złośliwych aplikacji zdecentralizowanych oraz złożony model uprawnień tokenów.

Approval phishing stał się szczególnie skuteczny, ponieważ nie wymaga od napastnika przełamania zabezpieczeń portfela w tradycyjnym rozumieniu. Zamiast tego ofiara sama autoryzuje dostęp do zasobów, najczęściej pod wpływem fałszywej narracji inwestycyjnej, presji czasu albo podszycia się pod legalny projekt. W rezultacie granica między błędem użytkownika a technicznym przejęciem aktywów staje się trudna do wychwycenia, co utrudnia zarówno wykrywanie, jak i odzyskiwanie środków.

Analiza techniczna

Techniczny rdzeń approval phishingu opiera się na mechanizmach zatwierdzania uprawnień w standardach tokenów oraz na interakcjach z inteligentnymi kontraktami. Ofiara jest kierowana do strony, aplikacji lub interfejsu, który wygląda wiarygodnie i prosi o podpisanie operacji. W praktyce nie chodzi o zwykłe zalogowanie, lecz o autoryzację pozwalającą zewnętrznemu podmiotowi na dysponowanie określonymi aktywami z poziomu portfela.

W typowym scenariuszu użytkownik:

  • klika odsyłacz promujący inwestycję, odzyskanie środków, staking lub nagrodę,
  • podłącza portfel do fałszywej aplikacji,
  • podpisuje żądanie nadania uprawnień,
  • pozostawia aktywne zezwolenie umożliwiające transfer tokenów,
  • traci środki, gdy przestępcy uruchamiają mechanizm drenujący portfel.

Kluczowe jest to, że część takich operacji nie wymaga ujawnienia frazy seed ani prywatnego klucza. Z perspektywy użytkownika interakcja może wyglądać jak standardowa czynność biznesowa lub inwestycyjna. Z perspektywy bezpieczeństwa dochodzi jednak do ustanowienia trwałego zaufania wobec złośliwego kontraktu albo operatora kontrolującego adres odbiorczy.

Znaczenie Operation Atlantic polega nie tylko na zamrożeniu środków, ale również na skoordynowanym śledzeniu przepływów on-chain i korelowaniu ich z danymi operacyjnymi, zgłoszeniami ofiar oraz analizą podmiotów infrastrukturalnych. W tego typu sprawach skuteczność zależy od bardzo szybkiej identyfikacji adresów, współpracy z dostawcami usług blockchain intelligence oraz możliwości przerwania łańcucha transferów zanim środki zostaną rozproszone przez kolejne portfele, mosty międzyłańcuchowe lub usługi utrudniające śledzenie.

Konsekwencje / ryzyko

Skala incydentu potwierdza, że oszustwa inwestycyjne oparte na kryptowalutach mają dziś charakter masowy, transgraniczny i wysoce zautomatyzowany. Ryzyko obejmuje nie tylko straty finansowe użytkowników indywidualnych, ale również:

  • obciążenie zespołów reagowania i działów fraud detection,
  • utratę zaufania do platform wymiany aktywów cyfrowych,
  • wzrost kosztów zgodności i monitoringu transakcji,
  • zwiększoną presję regulacyjną na operatorów rynku,
  • możliwość wtórnego wykorzystania danych ofiar w kolejnych kampaniach socjotechnicznych.

Dodatkowym problemem jest trudność w odzyskaniu środków. Nawet jeśli część aktywów zostanie zamrożona, przestępcy często rozpraszają fundusze na wiele adresów i łączą je z innymi strumieniami transakcyjnymi. W praktyce skraca to okno czasowe na skuteczną reakcję do godzin, a niekiedy minut. Dla organizacji finansowych i podmiotów obsługujących kryptowaluty oznacza to konieczność prowadzenia monitoringu niemal w czasie rzeczywistym.

Rekomendacje

Użytkownicy indywidualni powinni każdorazowo weryfikować, jakie uprawnienia nadają portfelowi lub kontraktowi i unikać podpisywania operacji, których znaczenia nie rozumieją. Szczególnie ważne jest regularne przeglądanie aktywnych zezwoleń oraz ich cofanie, jeśli nie są już potrzebne.

Dla giełd, operatorów portfeli i dostawców usług Web3 rekomendowane są następujące działania:

  • wdrożenie ostrzeżeń kontekstowych przed nadaniem szerokich uprawnień tokenowych,
  • automatyczne wykrywanie znanych adresów drainerów i infrastruktur oszustw,
  • korelacja danych on-chain z modelami ryzyka i sygnałami oszustw inwestycyjnych,
  • integracja kanałów szybkiego zgłaszania i eskalacji incydentów,
  • rozwijanie playbooków do natychmiastowego zamrażania środków oraz współpracy międzynarodowej,
  • edukacja klientów w zakresie podpisywania transakcji i znaczenia zezwoleń smart contract.

Z perspektywy SOC i zespołów cyber fraud warto traktować approval phishing jako połączenie zagrożenia technicznego i socjotechnicznego. Skuteczna obrona nie może ograniczać się wyłącznie do analizy malware lub reputacji domen. Potrzebne są także mechanizmy wykrywania nietypowych wzorców autoryzacji, zmian behawioralnych użytkowników oraz nagłych transferów do adresów wysokiego ryzyka.

Podsumowanie

Operation Atlantic pokazuje, że walka z oszustwami kryptowalutowymi wymaga jednoczesnego zaangażowania organów ścigania, sektora prywatnego i dostawców analityki blockchain. Zamrożenie ponad 12 mln dolarów i identyfikacja ponad 20 tys. potencjalnych ofiar to ważny sukces operacyjny, ale jednocześnie sygnał ostrzegawczy dla całego rynku.

Approval phishing pozostaje jednym z najgroźniejszych modeli ataku na użytkowników aktywów cyfrowych, ponieważ wykorzystuje legalne mechanizmy autoryzacji do nielegalnego przejęcia środków. W praktyce najskuteczniejszą obroną pozostają szybkie wykrywanie, ograniczanie nadmiernych uprawnień i stała edukacja użytkowników.

Źródła

  1. Help Net Security — https://www.helpnetsecurity.com/2026/04/13/crypto-scam-crackdown-12-million-frozen/
  2. National Crime Agency: Fraudsters targeting cryptocurrency stopped and $12 million frozen in NCA-led Operation Atlantic — https://www.nationalcrimeagency.gov.uk/news/fraudsters-targeting-cryptocurrency-stopped-and-12-million-frozen-in-nca-led-operation-atlantic
  3. FBI: Cryptocurrency and AI Scams Bilk Americans of Billions — https://www.fbi.gov/news/press-releases/cryptocurrency-and-ai-scams-bilk-americans-of-billions
  4. BCSC InvestRight: Approval Phishing — https://www.investright.org/avoid-fraud/types-of-investment-scams/approval-phishing/

Storm: nowy infostealer przejmuje sesje i odszyfrowuje dane po stronie serwera

Cybersecurity news

Wprowadzenie do problemu / definicja

Storm to nowy infostealer zaprojektowany do kradzieży danych uwierzytelniających, ciasteczek sesyjnych, tokenów, danych autouzupełniania oraz informacji z portfeli kryptowalutowych. Najbardziej niepokojącą cechą tego zagrożenia jest przeniesienie procesu odszyfrowywania przechwyconych artefaktów z urządzenia ofiary do infrastruktury operatora, co znacząco utrudnia wykrycie aktywności przez klasyczne mechanizmy ochronne.

W praktyce oznacza to zmianę podejścia: zamiast odczytywać i odszyfrowywać dane lokalnie, malware eksportuje zaszyfrowane pliki oraz bazy z przeglądarek, a następnie przetwarza je już po stronie serwera kontrolowanego przez atakującego. Taki model ogranicza liczbę lokalnych śladów kompromitacji i zwiększa skuteczność kradzieży aktywnych sesji.

W skrócie

Storm pojawił się jako nowoczesny infostealer oferowany w modelu subskrypcyjnym. Jego operatorzy stawiają nie tylko na kradzież haseł, ale przede wszystkim na przejmowanie już uwierzytelnionych sesji użytkowników.

  • kradnie hasła, cookies, tokeny i dane autouzupełniania,
  • zbiera informacje z komunikatorów i portfeli kryptowalutowych,
  • przesyła zaszyfrowane artefakty do odszyfrowania po stronie serwera,
  • umożliwia automatyczne odtwarzanie sesji z użyciem tokenów i proxy,
  • ogranicza widoczność działań złośliwego kodu na stacji roboczej.

Kontekst / historia

Rynek infostealerów od lat przechodzi ewolucję. Początkowo złośliwe oprogramowanie skupiało się głównie na prostym wykradaniu zapisanych haseł. Z czasem atakujący zaczęli jednak koncentrować się na przejmowaniu aktywnych sesji, ponieważ to one pozwalają ominąć część mechanizmów ochronnych, w tym wybrane wdrożenia MFA.

Znaczenie tego trendu wzrosło wraz z rozwojem zabezpieczeń w przeglądarkach. Wprowadzenie nowych mechanizmów ochrony danych, takich jak App-Bound Encryption w Chrome na Windows, zwiększyło trudność lokalnego odszyfrowywania artefaktów. W odpowiedzi twórcy malware zaczęli przenosić krytyczne operacje poza urządzenie ofiary. Storm wpisuje się dokładnie w ten kierunek rozwoju, łącząc kradzież danych z automatyzacją odzyskiwania sesji.

Analiza techniczna

Storm działa przede wszystkim w środowisku Windows i ma przechwytywać dane z przeglądarek opartych na Chromium oraz wybranych przeglądarek z rodziny Gecko. Zamiast wykonywać pełne odszyfrowanie lokalnie, malware eksportuje zaszyfrowane dane do infrastruktury atakującego. To podejście redukuje liczbę lokalnych wskaźników kompromitacji związanych z dostępem do magazynów przeglądarki.

Według opisywanych materiałów zagrożenie może pozyskiwać szeroki zakres danych użytkownika:

  • zapisane hasła,
  • ciasteczka sesyjne,
  • dane autouzupełniania,
  • tokeny kont, w tym tokeny usług internetowych,
  • dane kart płatniczych,
  • historię przeglądania,
  • dane z komunikatorów, takich jak Telegram, Signal i Discord,
  • informacje z rozszerzeń i aplikacji portfeli kryptowalutowych,
  • dokumenty z katalogów użytkownika,
  • informacje systemowe oraz zrzuty ekranu.

Istotnym elementem ekosystemu jest panel operatorski. Nie służy on wyłącznie do odbioru logów, ale także do automatyzacji przejmowania sesji. Atakujący mogą wykorzystywać przechwycone tokeny i cookies wraz z proxy dopasowanym geograficznie do lokalizacji ofiary, co zwiększa szansę na skuteczne odtworzenie sesji bez wzbudzania dodatkowych alertów bezpieczeństwa.

Model infrastrukturalny również zasługuje na uwagę. Operatorzy Storm mają umożliwiać podłączanie własnych serwerów VPS do centralnej platformy, dzięki czemu ruch i wykradzione dane mogą być przekierowywane przez infrastrukturę pozostającą pod ich kontrolą. To utrudnia szybką neutralizację całego ekosystemu i pozwala rozproszyć operacje między wieloma węzłami.

Konsekwencje / ryzyko

Największym ryzykiem związanym ze Storm nie jest sama kradzież hasła, lecz przejęcie aktywnej, już uwierzytelnionej sesji. W takim scenariuszu atakujący może uzyskać dostęp do poczty, systemów SaaS, zasobów chmurowych, paneli administracyjnych czy kont finansowych bez konieczności ponownego logowania.

Dla organizacji oznacza to realne zagrożenie biznesowe i operacyjne:

  • przejęcie kont uprzywilejowanych,
  • kradzież danych z systemów chmurowych,
  • lateral movement w środowisku firmowym,
  • eksfiltrację dokumentów i danych wrażliwych,
  • nadużycia finansowe oraz przejęcia kont kryptowalutowych,
  • wykorzystanie skradzionych informacji do dalszych kampanii phishingowych,
  • sprzedaż logów dostępowych na forach cyberprzestępczych.

Dodatkowym czynnikiem ryzyka jest model malware-as-a-service. Dzięki subskrypcji próg wejścia dla mniej zaawansowanych grup przestępczych znacząco spada, a gotowe funkcje budowy, zarządzania i odzyskiwania sesji zwiększają skalę potencjalnych kampanii.

Rekomendacje

Organizacje powinny przyjąć, że sama ochrona haseł nie wystarcza. Kluczowe staje się monitorowanie sesji, anomalii behawioralnych i nietypowego użycia tokenów dostępowych. Obrona przed nowoczesnymi infostealerami musi obejmować zarówno stacje robocze, jak i warstwę tożsamości.

  • wdrożyć monitorowanie sesji i wykrywanie nietypowego użycia tokenów,
  • analizować logowania pod kątem lokalizacji, reputacji adresów IP i wzorców dostępu,
  • skracać czas życia sesji oraz częściej rotować tokeny,
  • wymuszać ponowną autoryzację dla operacji wysokiego ryzyka,
  • segmentować dostęp do aplikacji SaaS i zasobów chmurowych,
  • blokować uruchamianie nieautoryzowanych plików wykonywalnych,
  • stosować EDR ukierunkowany na wykrywanie kradzieży artefaktów przeglądarki i nietypowej komunikacji,
  • utwardzać konfigurację przeglądarek, rozszerzeń i portfeli kryptowalutowych,
  • izolować stacje robocze administratorów i użytkowników uprzywilejowanych,
  • regularnie szkolić użytkowników z phishingu i metod dostarczania malware.

W przypadku incydentu sama zmiana hasła może nie wystarczyć. Konieczne może być unieważnienie wszystkich aktywnych sesji, reset tokenów odświeżania, przegląd zaufanych urządzeń oraz analiza, czy atakujący nie uzyskał trwałego dostępu do środowiska.

Podsumowanie

Storm pokazuje, że nowoczesne infostealery rozwijają się w kierunku cichszego działania, mniejszej liczby lokalnych artefaktów i większej automatyzacji przejmowania aktywnych sesji. Przeniesienie odszyfrowywania danych na serwer operatora znacząco utrudnia wykrycie ataku i zwiększa skuteczność działań przeciwko użytkownikom indywidualnym oraz organizacjom.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości, sesji i zachowań użytkowników staje się równie ważna jak tradycyjna ochrona poświadczeń. Storm nie jest jedynie kolejnym stealerem — to przykład dojrzewania cyberprzestępczych usług ukierunkowanych na realne przejęcie dostępu.

Źródła

  1. BleepingComputer — https://www.bleepingcomputer.com/news/security/the-silent-storm-new-infostealer-hijacks-sessions-decrypts-server-side/
  2. Google Security Blog — https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on-windows.html
  3. Varonis — Cookie-Bite — https://www.varonis.com/blog/cookie-bite
  4. Varonis — SessionShark — https://www.varonis.com/blog/sessionshark
  5. MITRE ATT&CK — Steal Web Session Cookie — https://attack.mitre.org/techniques/T1539/

Krytyczna luka w wolfSSL pozwala na akceptację sfałszowanych certyfikatów

Cybersecurity news

Wprowadzenie do problemu / definicja

W bibliotece wolfSSL wykryto krytyczną podatność oznaczoną jako CVE-2026-5194, która dotyczy procesu weryfikacji podpisów kryptograficznych wykorzystywanych przy sprawdzaniu certyfikatów. Problem wynika z nieprawidłowej walidacji algorytmu skrótu oraz długości skrótu, co może prowadzić do obniżenia poziomu bezpieczeństwa mechanizmów opartych na zaufaniu do certyfikatów.

To szczególnie istotny problem, ponieważ wolfSSL jest szeroko stosowany w środowiskach o ograniczonych zasobach, takich jak systemy embedded, urządzenia IoT, routery, rozwiązania przemysłowe oraz firmware wielu zamkniętych platform.

W skrócie

Podatność może umożliwić zaakceptowanie nieprawidłowo przygotowanych, sfałszowanych certyfikatów przez aplikacje i urządzenia korzystające z podatnych wersji wolfSSL. Błąd został usunięty w wersji wolfSSL 5.9.1, opublikowanej 8 kwietnia 2026 roku.

  • Podatność: CVE-2026-5194
  • Dotyczy: procesu weryfikacji podpisów w certyfikatach
  • Ryzyko: akceptacja sfałszowanych certyfikatów
  • Wpływ: potencjalne ataki MITM i podszywanie się pod zaufane usługi
  • Poprawka: aktualizacja do wolfSSL 5.9.1 lub nowszej

Kontekst / historia

wolfSSL to lekka implementacja TLS/SSL napisana w języku C, od lat używana tam, gdzie liczy się niski narzut pamięciowy, wydajność i łatwość wdrożenia na platformach wbudowanych. Z tego powodu każda krytyczna luka w mechanizmach kryptograficznych tej biblioteki może mieć szerokie przełożenie operacyjne.

Podatność została przypisana badaczowi Nicholasowi Carliniemu. Problem nie jest związany z pojedynczą błędną integracją po stronie użytkownika, lecz z samą logiką weryfikacji podpisów w określonych scenariuszach. Oznacza to, że ryzyko może obejmować zarówno aplikacje końcowe, jak i firmware urządzeń, zestawy SDK oraz pakiety dystrybucyjne dostarczane przez producentów i integratorów.

Analiza techniczna

Sedno problemu polega na braku odpowiednich kontroli dotyczących identyfikatora algorytmu skrótu oraz jego oczekiwanego rozmiaru podczas weryfikacji podpisu. W praktyce podatna implementacja może zaakceptować skróty o zbyt małej długości lub nieadekwatne do użytego algorytmu, co osłabia odporność kryptograficzną całego procesu walidacji.

Według opublikowanych informacji problem dotyczy wielu algorytmów, w tym ECDSA/ECC, DSA, ML-DSA, Ed25519 oraz Ed448. To oznacza, że atakujący może próbować dostarczyć certyfikat zawierający podpis oparty na nieprawidłowo dobranym lub zbyt krótkim skrócie. Jeśli podatna wersja biblioteki uzna taki podpis za poprawny, możliwe staje się obejście oczekiwanego poziomu bezpieczeństwa i zaakceptowanie fałszywej tożsamości cyfrowej.

W warstwie praktycznej przekłada się to na ryzyko błędnej weryfikacji certyfikatu serwera, pośrednika lub innego podpisanego obiektu. Nie jest to klasyczne złamanie samego protokołu TLS, lecz osłabienie jednej z jego kluczowych gwarancji bezpieczeństwa, czyli poprawnej walidacji łańcucha zaufania.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją luki jest możliwość zaakceptowania sfałszowanego certyfikatu w środowisku korzystającym z podatnej wersji wolfSSL. Taki scenariusz może otworzyć drogę do ataków typu man-in-the-middle, podszywania się pod zaufane usługi, przechwytywania ruchu sieciowego oraz naruszenia integralności komunikacji.

Ryzyko jest szczególnie wysokie w infrastrukturze obejmującej urządzenia brzegowe, automatykę przemysłową, systemy IoT i platformy firmware, gdzie cykle aktualizacji są często wydłużone, a zależności kryptograficzne ukryte głęboko w komponentach dostawców. W takich środowiskach szybkie ustalenie faktycznej ekspozycji bywa utrudnione.

Skala zagrożenia zależy od konfiguracji biblioteki, aktywnych algorytmów, sposobu kompilacji i modelu wdrożenia. Mimo to charakter podatności uzasadnia traktowanie jej jako krytycznej, ponieważ dotyczy fundamentu zaufania w komunikacji zabezpieczonej certyfikatami.

Rekomendacje

Podstawowym działaniem naprawczym jest aktualizacja do wolfSSL 5.9.1 lub nowszej wersji zawierającej poprawkę. Organizacje powinny zweryfikować nie tylko własne wdrożenia biblioteki, ale również zależności pośrednie obecne w firmware, urządzeniach OEM, pakietach systemowych i zewnętrznych SDK.

  • Przeprowadzić inwentaryzację systemów i aplikacji korzystających z wolfSSL.
  • Ustalić, czy w środowisku działa podatna wersja biblioteki oraz które algorytmy są aktywne.
  • Sprawdzić, czy walidacja certyfikatów odbywa się lokalnie z użyciem wolfSSL.
  • Zastosować aktualizacje od producentów urządzeń i dostawców oprogramowania, jeśli biblioteka jest dostarczana pośrednio.
  • Uruchomić testy regresyjne dla połączeń TLS i mechanizmów wzajemnego uwierzytelniania.
  • Monitorować logi TLS, błędy walidacji certyfikatów oraz anomalie w ruchu do usług krytycznych.

Dodatkowo warto rozważyć działania kompensacyjne, takie jak pinning certyfikatów tam, gdzie jest to możliwe, ograniczenie zaufanych urzędów certyfikacji, segmentację sieci oraz wzmożone monitorowanie połączeń wychodzących i wewnętrznych.

Podsumowanie

CVE-2026-5194 to krytyczna podatność w wolfSSL, która osłabia proces weryfikacji podpisów i może prowadzić do akceptacji sfałszowanych certyfikatów. Ze względu na szerokie zastosowanie biblioteki w systemach wbudowanych, przemysłowych i IoT, luka ma istotne znaczenie operacyjne i powinna zostać potraktowana priorytetowo.

Organizacje powinny jak najszybciej zidentyfikować wszystkie zależne komponenty, wdrożyć poprawki oraz potwierdzić skuteczność walidacji certyfikatów po aktualizacji. Opóźnienia w tym obszarze mogą zwiększyć ryzyko skutecznych ataków na zaufanie w komunikacji TLS.

Źródła