Archiwa: Encryption - Strona 3 z 7

Google wyznacza 2029 rok na pełną migrację do kryptografii postkwantowej

Wprowadzenie do problemu / definicja

Kryptografia postkwantowa to klasa algorytmów projektowanych z myślą o odporności na przyszłe ataki prowadzone z użyciem komputerów kwantowych. Dla rynku cyberbezpieczeństwa ma to kluczowe znaczenie, ponieważ wiele obecnie stosowanych mechanizmów opartych na kryptografii asymetrycznej i podpisach cyfrowych może w dłuższej perspektywie utracić skuteczność.

Zapowiedź Google, że do końca 2029 roku chce zintegrować kryptografię odporną na komputery kwantowe w swoich systemach, produktach i usługach, pokazuje wyraźnie, że temat przestaje być wyłącznie domeną badań i pilotaży. Wchodzi on w etap strategicznych wdrożeń o dużej skali.

W skrócie

Google chce zakończyć migrację do kryptografii postkwantowej do końca 2029 roku.
Firma wskazuje trzy filary transformacji: kryptograficzną zwinność, ochronę współdzielonej infrastruktury krytycznej oraz wsparcie zmian w całym ekosystemie technologicznym.
Szczególny nacisk położono na uwierzytelnianie i podpisy cyfrowe, a nie tylko na szyfrowanie danych.
Decyzja wpisuje się w szerszy trend rynkowy po publikacji pierwszych sfinalizowanych standardów PQC przez NIST.

Kontekst / historia

Ryzyko związane z rozwojem komputerów kwantowych od lat analizowane było głównie w kontekście możliwości złamania klasycznych mechanizmów opartych na faktoryzacji oraz problemie logarytmu dyskretnego. W praktyce oznacza to zagrożenie dla TLS, infrastruktury PKI, podpisów kodu, podpisów dokumentów oraz licznych systemów uwierzytelniania wykorzystujących kryptografię klucza publicznego.

Dodatkową presję tworzy scenariusz „store now, decrypt later”. Oznacza on, że przeciwnik może już dziś przechwytywać zaszyfrowane dane z zamiarem ich odszyfrowania w przyszłości, gdy odpowiednio wydajne komputery kwantowe staną się dostępne. Problem dotyczy szczególnie informacji, które muszą pozostać poufne przez wiele lat.

Ważnym momentem dla całej branży była finalizacja pierwszych standardów postkwantowych przez NIST. To właśnie standaryzacja sprawiła, że organizacje zaczęły traktować migrację do PQC jako realny program transformacyjny, a nie tylko eksperyment badawczy. Na tym tle deklaracja Google stanowi potwierdzenie, że najwięksi operatorzy infrastruktury cyfrowej zaczynają traktować odporność postkwantową jako wymóg strategiczny.

Analiza techniczna

Migracja do kryptografii postkwantowej nie polega na prostym zastąpieniu jednego algorytmu innym. Zmiany obejmują wiele warstw architektury bezpieczeństwa, w tym zarządzanie kluczami, certyfikaty, protokoły negocjacji kryptograficznej, moduły HSM, biblioteki kryptograficzne, oprogramowanie klienckie, usługi tożsamości oraz interoperacyjność z partnerami i dostawcami.

Google podkreśla, że priorytetem stają się uwierzytelnianie i podpisy cyfrowe. To istotna zmiana akcentów, ponieważ debata o zagrożeniach kwantowych długo koncentrowała się przede wszystkim na szyfrowaniu danych. Tymczasem utrata odporności mechanizmów podpisu i autoryzacji mogłaby podważyć bezpieczeństwo aktualizacji oprogramowania, weryfikację tożsamości usług, integralność artefaktów w łańcuchu dostaw oraz zaufanie w komunikacji między systemami.

Kluczowym wymogiem technicznym pozostaje crypto agility, czyli zdolność systemów do szybkiej wymiany algorytmów, parametrów i bibliotek bez konieczności przebudowy całego środowiska. Organizacje silnie uzależnione od konkretnych algorytmów lub przestarzałych implementacji będą migrować wolniej, drożej i z większym ryzykiem operacyjnym.

Istotnym sygnałem jest także integracja ochrony podpisów cyfrowych opartych na ML-DSA w Androidzie 17. W połączeniu z rosnącą rolą ML-KEM jako standardu dla uzgadniania kluczy pokazuje to, że przejście do PQC obejmie nie tylko centra danych i infrastrukturę backendową, lecz również platformy klienckie oraz urządzenia końcowe.

Konsekwencje / ryzyko

Wyznaczenie przez Google terminu 2029 zwiększa presję na dostawców technologii, integratorów i zespoły bezpieczeństwa, aby już teraz rozpoczęły inwentaryzację użycia kryptografii. Największy problem mają zwykle organizacje, które nie wiedzą dokładnie, gdzie wykorzystują kryptografię asymetryczną, jakie biblioteki działają w ich środowisku i które zależności pochodzą od zewnętrznych dostawców.

Wysokie ryzyko dotyczy systemów chroniących dane długowieczne, infrastruktury krytycznej, podpisywania kodu, środowisk IAM, VPN, PKI, usług chmurowych oraz komunikacji między usługami. Pojawia się również ryzyko interoperacyjności, ponieważ partnerzy biznesowi i producenci mogą przechodzić na nowe standardy w różnym tempie, wymuszając dostosowanie protokołów i aktualizację stosu kryptograficznego.

Nie można też pomijać ryzyka błędów wdrożeniowych. Algorytmy postkwantowe mają inne charakterystyki wydajnościowe, rozmiary kluczy, podpisów i komunikatów, co może wpływać na opóźnienia, zużycie pamięci, przepustowość, zgodność urządzeń oraz ograniczenia środowisk wbudowanych. W efekcie migracja do PQC staje się nie tylko zadaniem kryptograficznym, ale również dużym projektem architektonicznym i operacyjnym.

Rekomendacje

Pierwszym krokiem powinna być pełna inwentaryzacja użycia kryptografii w organizacji. Należy ustalić, gdzie stosowane są certyfikaty, podpisy cyfrowe, wymiana kluczy, biblioteki kryptograficzne oraz moduły sprzętowe. Bez takiej mapy nie da się przygotować realnego planu migracji.

Kolejnym etapem powinno być wdrożenie zasad crypto agility. W praktyce oznacza to projektowanie i modernizację systemów w taki sposób, aby możliwa była wymiana algorytmów bez głębokiej ingerencji w aplikacje i procesy biznesowe. Dotyczy to także polityk zarządzania certyfikatami, cyklu życia kluczy oraz automatyzacji wymiany komponentów kryptograficznych.

Zespoły bezpieczeństwa powinny również aktywnie weryfikować roadmapy postkwantowe dostawców chmury, platform IAM, rozwiązań VPN, systemów PKI i produktów endpointowych. W wielu środowiskach to właśnie zależności od zewnętrznych producentów będą najtrudniejszym elementem całej transformacji.

Warto także priorytetyzować systemy według wartości chronionych danych oraz długości okresu, przez jaki muszą pozostać poufne lub integralne. Szczególną uwagę należy poświęcić środowiskom odpowiedzialnym za ochronę informacji wrażliwych przez wiele lat oraz systemom wspierającym podpisy, aktualizacje i tożsamość cyfrową.

Podsumowanie

Decyzja Google o wyznaczeniu końca 2029 roku jako terminu integracji kryptografii postkwantowej jest ważnym sygnałem dla całego rynku. Pokazuje, że odporność na zagrożenia kwantowe staje się praktycznym celem inżynieryjnym i elementem długofalowego zarządzania ryzykiem.

Dla organizacji wniosek jest jednoznaczny: przygotowania należy rozpocząć już teraz. Inwentaryzacja kryptografii, budowanie crypto agility oraz weryfikacja gotowości dostawców będą w najbliższych latach kluczowe dla bezpiecznego przejścia do świata postkwantowego.

Źródła

Dark Reading, https://www.darkreading.com/application-security/google-2029-deadline-quantum-safe-cryptography
NIST Releases First 3 Finalized Post-Quantum Encryption Standards, https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard, https://csrc.nist.gov/pubs/fips/203/final
FIPS 204, Module-Lattice-Based Digital Signature Standard, https://csrc.nist.gov/pubs/fips/204/final

Torg Grabber: nowy infostealer atakuje setki portfeli kryptowalutowych i danych przeglądarek

Wprowadzenie do problemu / definicja

Torg Grabber to nowo opisane złośliwe oprogramowanie typu infostealer, zaprojektowane do kradzieży danych uwierzytelniających, ciasteczek sesyjnych, informacji autouzupełniania oraz danych przechowywanych w rozszerzeniach przeglądarek. Szczególnie niepokojący jest jego wyraźny nacisk na użytkowników ekosystemu kryptowalutowego, ponieważ malware aktywnie wyszukuje komponenty powiązane z portfelami cyfrowymi i innymi narzędziami służącymi do zarządzania aktywami on-chain.

Zagrożenie wpisuje się w rosnący trend specjalizowanych stealerów, które nie ograniczają się już do prostego wykradania haseł z przeglądarki. Torg Grabber działa szerzej: profiluje host, zbiera dane z aplikacji komunikacyjnych i bezpieczeństwa, a także może wspierać dalsze etapy kompromitacji poprzez elastyczną komunikację z infrastrukturą operatorów.

W skrócie

Torg Grabber został ujawniony pod koniec marca 2026 roku jako aktywnie rozwijany infostealer działający w modelu usługowym.
Malware ma atakować 850 rozszerzeń przeglądarek, w tym 728 związanych z portfelami kryptowalutowymi.
Wektor początkowego dostępu obejmuje między innymi technikę ClickFix, w której ofiara uruchamia złośliwe polecenie PowerShell.
Nowsze wersje korzystają z bardziej dojrzałej infrastruktury C2 opartej na HTTPS oraz szyfrowanych transferach danych.
Zagrożenie obejmuje również menedżery haseł, aplikacje 2FA, komunikatory, pocztę, VPN i desktopowe portfele kryptowalutowe.

Kontekst / historia

Analiza rozwoju Torg Grabber wskazuje, że projekt dojrzewał bardzo szybko. Badane próbki były intensywnie kompilowane między grudniem 2025 roku a lutym 2026 roku, a operatorzy regularnie rejestrowali nowe serwery dowodzenia i kontroli. Taki wzorzec sugeruje nie jednorazową kampanię, lecz rozwijane zaplecze przestępcze z ambicją skalowania operacji.

Badacze powiązali Torg Grabber z modelem Malware-as-a-Service. Oznacza to, że twórcy mogli udostępniać infrastrukturę, builder oraz panel operatorski zewnętrznym klientom. Tego typu model zwiększa ryzyko szerokiego rozpowszechnienia zagrożenia, ponieważ obniża próg wejścia dla mniej zaawansowanych cyberprzestępców.

Wczesne warianty wykorzystywały prostsze kanały eksfiltracji, w tym rozwiązania oparte na komunikacji przez Telegram. Z czasem operatorzy przeszli do własnego szyfrowanego protokołu TCP, by ostatecznie wdrożyć architekturę REST API działającą przez HTTPS i ukrytą za infrastrukturą pośredniczącą. Ta ewolucja pokazuje przejście od etapu eksperymentalnego do bardziej odpornej i skalowalnej platformy kradzieży danych.

Analiza techniczna

Technicznie Torg Grabber wyróżnia się wieloetapowym łańcuchem infekcji, rozbudowaną obfuskacją oraz naciskiem na unikanie analizy. Złośliwy kod może być dostarczany przez fałszywe instalatory, cracki, narzędzia podszywające się pod modyfikacje do gier, a także kampanie ClickFix. W tym ostatnim przypadku użytkownik jest nakłaniany do uruchomienia polecenia PowerShell, często bez pełnej świadomości konsekwencji.

Po uruchomieniu dropper przekazuje konfigurację do kolejnych etapów i inicjuje loader, który odszyfrowuje właściwy ładunek bez trwałego zapisu na dysku. W dalszych fazach malware wykorzystuje reflective loading, dynamiczne rozwiązywanie API oraz bezpośrednie wywołania systemowe. Takie podejście utrudnia analizę statyczną i ogranicza liczbę artefaktów możliwych do wykrycia na hoście.

Jednym z najbardziej istotnych aspektów kampanii jest próba obejścia App-Bound Encryption stosowanego przez nowoczesne przeglądarki oparte na Chromium. Opisane przez badaczy narzędzie pomocnicze refleksyjnie wstrzykuje bibliotekę DLL do procesu przeglądarki, aby uzyskać dostęp do mechanizmów pozwalających wydobyć klucz główny szyfrowania. W praktyce otwiera to drogę do przechwycenia chronionych cookies, zapisanych poświadczeń i innych wrażliwych danych.

Zakres kradzieży jest bardzo szeroki. Torg Grabber ma atakować 25 przeglądarek opartych na Chromium oraz 8 wariantów Firefoksa. Lista celów obejmuje rozszerzenia portfeli kryptowalutowych, menedżery haseł, aplikacje uwierzytelniające, a także dane z Discorda, Telegrama, Steama, klientów FTP, aplikacji VPN, klientów poczty oraz desktopowych portfeli kryptowalutowych.

Malware dodatkowo profiluje zainfekowany system, tworzy fingerprint sprzętowy, dokumentuje zainstalowane oprogramowanie, wykonuje zrzuty ekranu i wykrada pliki z katalogów użytkownika. Kanał C2 w nowszych wariantach opiera się na HTTPS, szyfrowaniu i transmisji danych w porcjach, a operatorzy mogą zdalnie dostarczać kolejne ładunki, w tym shellcode kompresowany i szyfrowany przed uruchomieniem.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją infekcji jest bezpośrednia utrata środków kryptowalutowych oraz przejęcie tożsamości cyfrowej ofiary. Kradzież ciasteczek sesyjnych, tokenów, danych logowania i informacji z rozszerzeń portfeli może umożliwić przejmowanie kont oraz wykonywanie nieautoryzowanych operacji.

Ryzyko nie ogranicza się jednak do użytkowników indywidualnych. Jeśli ta sama przeglądarka lub urządzenie służy do pracy i celów prywatnych, malware może przejąć poświadczenia do usług SaaS, VPN, poczty, komunikatorów i paneli administracyjnych. W efekcie pojedyncza infekcja może stać się punktem wejścia do głębszego naruszenia środowiska firmowego.

Istotny jest również aspekt operacyjny. Model MaaS oraz częsta rotacja infrastruktury C2 sprawiają, że kampania może być łatwo adaptowana przez wielu operatorów. To oznacza większą liczbę wariantów, przynęt i mechanizmów unikania detekcji, co utrudnia obronę opartą wyłącznie na statycznych wskaźnikach kompromitacji.

Rekomendacje

Organizacje powinny wdrożyć wielowarstwowe mechanizmy ochrony, które nie ograniczają się wyłącznie do tradycyjnego antywirusa. Kluczowe znaczenie ma kontrola uruchamiania skryptów, monitorowanie działań PowerShell, analiza zachowania procesów przeglądarek oraz wykrywanie prób reflective loading i iniekcji DLL.

egzekwowanie zasady najmniejszych uprawnień,
wdrożenie application allowlistingu,
monitorowanie nietypowych uruchomień PowerShell,
analiza dostępu procesów do danych przeglądarek i magazynów poświadczeń,
ograniczenie instalacji niezatwierdzonych rozszerzeń przeglądarek,
separacja kont prywatnych i służbowych,
stosowanie MFA odpornego na kradzież sesji,
regularny threat hunting pod kątem kradzieży cookies i tokenów.

Użytkownicy indywidualni, zwłaszcza osoby operujące kryptowalutami, powinni unikać pobierania cracków, loaderów, cheatów i niezweryfikowanych narzędzi. Szczególną ostrożność należy zachować wobec instrukcji nakłaniających do ręcznego wklejania i uruchamiania poleceń w terminalu lub oknach systemowych.

W przypadku podejrzenia infekcji należy natychmiast odizolować host, unieważnić aktywne sesje, zmienić hasła z czystego urządzenia, przeprowadzić rotację kluczy oraz odzyskać kontrolę nad portfelami i kontami powiązanymi z przeglądarką.

Podsumowanie

Torg Grabber to przykład nowoczesnego infostealera rozwijanego szybko, metodycznie i z myślą o skali operacyjnej. Połączenie szerokiego katalogu celów, nacisku na portfele kryptowalutowe, technik działania w pamięci oraz zdolności do obchodzenia zabezpieczeń przeglądarek czyni z niego zagrożenie o wysokim potencjale szkód.

Dla zespołów bezpieczeństwa to kolejny sygnał, że ochrona poświadczeń musi wykraczać poza klasyczne mechanizmy AV. Niezbędne stają się telemetria EDR, kontrola skryptów, zarządzanie rozszerzeniami przeglądarek oraz procedury szybkiej reakcji na kradzież sesji i danych dostępowych.

Źródła

Torg Grabber: Anatomy of a New Credential Stealer — https://www.gendigital.com/blog/insights/research/torg-grabber-credential-stealer-analysis
New Torg Grabber infostealer malware targets 728 crypto wallets — https://www.bleepingcomputer.com/news/security/new-torg-grabber-infostealer-malware-targets-728-crypto-wallets/

GlassWorm wykorzystuje dead dropy w Solanie do dostarczania RAT i kradzieży danych przeglądarki oraz kryptowalut

Wprowadzenie do problemu / definicja

GlassWorm to zaawansowana kampania malware powiązana z atakami na łańcuch dostaw oprogramowania. W najnowszej odsłonie zagrożenie łączy złośliwe pakiety i zatrute aktualizacje z mechanizmem ukrywania infrastruktury C2 opartym na blockchainie Solana, który pełni rolę dead drop resolvera.

W praktyce oznacza to, że złośliwe oprogramowanie nie musi zawierać na stałe zakodowanego adresu serwera sterującego. Zamiast tego może dynamicznie pobierać dane konfiguracyjne z informacji umieszczonych w transakcjach, co utrudnia blokowanie i analizę infrastruktury napastników.

W skrócie

GlassWorm wykorzystuje Solanę do pobierania informacji o serwerach C2.
Kampania łączy infostealera, RAT, phishing portfeli sprzętowych i przejęcie danych przeglądarkowych.
Malware kradnie cookies, tokeny sesyjne, historię przeglądania, dane portfeli kryptowalutowych, zrzuty ekranu i naciśnięcia klawiszy.
Ataki obejmują również fałszywe rozszerzenie podszywające się pod Google Docs Offline.
Użytkownicy Ledger i Trezor są wabieni do ujawnienia seed phrase przez spreparowane komunikaty.

Kontekst / historia

GlassWorm był wcześniej łączony z długotrwałą aktywnością wymierzoną w ekosystem deweloperski. Operatorzy zagrożenia publikowali złośliwe pakiety w popularnych repozytoriach, nadużywali platform kodu oraz przejmowali konta maintainerów, aby rozprowadzać skażone aktualizacje.

Takie podejście wpisuje się w szerszy trend ataków supply chain, w których ofiara instaluje pozornie legalny komponent z zaufanego źródła. Najnowsza analiza pokazuje jednak dalszą ewolucję tej kampanii: celem nie jest już tylko kradzież danych z hosta, ale także przejęcie aktywów kryptowalutowych, utrzymanie dostępu i zwiększenie odporności infrastruktury na zakłócenia.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od zainfekowanego pakietu lub komponentu dostarczonego przez skompromitowany kanał dystrybucji. Po uruchomieniu malware analizuje środowisko ofiary i unika infekowania systemów z rosyjską lokalizacją, a następnie pobiera dane potrzebne do dalszej komunikacji z infrastrukturą operatora.

Najważniejszym elementem kampanii jest użycie Solany jako dead drop resolvera. Zamiast przechowywać adres C2 bezpośrednio w kodzie, malware odczytuje go z memo zapisanych w transakcjach blockchain. W części łańcucha infekcji wykorzystywane jest także publiczne wydarzenie w Google Calendar jako dodatkowy kanał pozyskiwania konfiguracji.

Drugi etap obejmuje framework do kradzieży danych, który zbiera poświadczenia, profiluje system i przechwytuje informacje związane z portfelami kryptowalutowymi. Dane są następnie pakowane do archiwum i eksfiltrowane na serwery kontrolowane przez napastników.

Jednym z modułów jest binarium .NET ukierunkowane na phishing portfeli sprzętowych. Komponent wykorzystuje WMI do wykrywania podłączenia urządzeń USB. Po wykryciu Ledger lub Trezor użytkownik otrzymuje fałszywy komunikat błędu i formularz zachęcający do wpisania 24-wyrazowej frazy odzyskiwania. Dodatkowo legalna aplikacja może być zamykana, a okno phishingowe wyświetlane ponownie.

Kolejny istotny element to JavaScriptowy RAT komunikujący się przez WebSocket. Moduł wykorzystuje rozproszoną tablicę skrótów do pozyskiwania konfiguracji, a w razie niepowodzenia wraca do mechanizmu opartego na Solanie. RAT umożliwia m.in. uruchomienie HVNC, zestawienie tunelu SOCKS z użyciem WebRTC, pobieranie danych z przeglądarek, wykonywanie kodu JavaScript i przesyłanie informacji systemowych.

Szczególnie groźny jest moduł odpowiedzialny za kradzież danych z przeglądarek takich jak Chrome, Edge, Brave, Opera, Opera GX, Vivaldi i Firefox. Według opisu badaczy potrafi on obchodzić mechanizmy ochronne Chrome App-Bound Encryption, zwiększając skuteczność pozyskiwania lokalnie przechowywanych danych.

Na Windows i macOS malware instaluje również rozszerzenie Chrome podszywające się pod Google Docs Offline. Rozszerzenie może zbierać cookies, localStorage, drzewo DOM aktywnej karty, zakładki, zrzuty ekranu, naciśnięcia klawiszy, zawartość schowka, historię przeglądania oraz listę zainstalowanych dodatków. Analiza wskazuje też na monitorowanie wybranych serwisów, w tym reguły powiązane z platformami kryptowalutowymi.

Konsekwencje / ryzyko

GlassWorm jest zagrożeniem wysokiego ryzyka, ponieważ łączy kilka klas ataków w jednym łańcuchu operacyjnym. Dla użytkowników indywidualnych oznacza to możliwość utraty haseł, aktywnych sesji, danych z przeglądarek oraz środków przechowywanych w portfelach kryptowalutowych.

Dla organizacji szczególnie niebezpieczne jest to, że punkt wejścia może stanowić pozornie legalny pakiet deweloperski lub rozszerzenie. Taka infekcja może prowadzić do przejęcia kont uprzywilejowanych, tokenów sesyjnych do usług SaaS, danych z narzędzi programistycznych oraz lokalnie zapisanych sekretów. Możliwość uruchamiania HVNC i tuneli proxy dodatkowo zwiększa potencjał do ruchów bocznych i ukrywania aktywności operatora.

Wykorzystanie blockchaina oraz zewnętrznych usług jako dead dropów podnosi odporność infrastruktury napastników na blokowanie. Z kolei złośliwe rozszerzenie przeglądarkowe pozwala przechwytywać dane już po uwierzytelnieniu, co czyni samą ochronę haseł niewystarczającą.

Rekomendacje

Organizacje powinny zaostrzyć kontrolę pochodzenia pakietów i rozszerzeń instalowanych w środowiskach deweloperskich. Konieczne jest weryfikowanie wydawców, historii publikacji, integralności paczek oraz ograniczanie instalacji komponentów spoza zatwierdzonych rejestrów.

W warstwie endpointów warto monitorować nietypowe procesy potomne uruchamiane przez narzędzia deweloperskie, aktywność WMI związaną z wykrywaniem urządzeń USB, podejrzane instalacje rozszerzeń przeglądarkowych oraz anomalie w ruchu WebSocket i WebRTC.

Zespoły bezpieczeństwa powinny rozwijać detekcję prób dostępu do magazynów cookies, tokenów sesyjnych, localStorage i historii przeglądania. W środowiskach o podwyższonym ryzyku należy rozważyć blokowanie nieautoryzowanych rozszerzeń oraz stosowanie list dozwolonych dodatków.

Użytkownicy portfeli sprzętowych powinni pamiętać, że legalne aplikacje nie proszą o podanie pełnej frazy odzyskiwania w oknie systemowym po podłączeniu urządzenia. Każdy taki komunikat należy traktować jako próbę phishingu. Dobrym podejściem jest także oddzielenie systemów używanych do operacji kryptowalutowych od codziennej pracy.

W przypadku podejrzenia infekcji należy przeanalizować zainstalowane pakiety i rozszerzenia, unieważnić aktywne sesje, zresetować poświadczenia i klucze oraz sprawdzić system pod kątem artefaktów powiązanych z kampanią GlassWorm.

Podsumowanie

GlassWorm pokazuje, że współczesne kampanie malware coraz skuteczniej łączą ataki supply chain, kradzież danych, phishing portfeli sprzętowych i nadużycia rozszerzeń przeglądarkowych. Wykorzystanie Solany jako dead drop resolvera dodatkowo utrudnia wykrywanie i neutralizację infrastruktury sterującej.

Dla obrońców najważniejszy wniosek jest prosty: pakiety, rozszerzenia i sesje przeglądarkowe muszą być traktowane jako krytyczna powierzchnia ataku. Skuteczna ochrona wymaga połączenia kontroli aplikacyjnych, telemetrii endpointowej, monitoringu przeglądarek oraz ciągłej walidacji zaufania do komponentów zewnętrznych.

Źródła

The Hacker News — GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data — https://thehackernews.com/2026/03/glassworm-malware-uses-solana-dead.html
Aikido Security — analiza kampanii GlassWorm — https://www.aikido.dev/
Koi Security — obserwacje dotyczące GlassWorm i MCP — https://www.koi.ai/
AFINE — Glassworm-hunter — https://afine.com/
GitHub — glassworm-hunter — https://github.com/

Torg Grabber: nowy infostealer atakuje setki portfeli kryptowalutowych

Wprowadzenie do problemu / definicja

Torg Grabber to nowo wykryte złośliwe oprogramowanie typu infostealer, którego celem jest kradzież danych uwierzytelniających, ciasteczek sesyjnych, informacji z przeglądarek oraz danych przechowywanych przez rozszerzenia powiązane z kryptowalutami. Zagrożenie wyróżnia się szerokim zakresem działania, szybkim rozwojem oraz wykorzystaniem technik utrudniających analizę i detekcję.

Największe obawy budzi fakt, że malware koncentruje się na ekosystemie portfeli kryptowalutowych, ale jednocześnie uderza również w menedżery haseł, aplikacje 2FA i inne narzędzia przechowujące wrażliwe dane użytkownika.

W skrócie

Torg Grabber jest aktywnie rozwijanym stealerem, którego model działania przypomina podejście Malware-as-a-Service. Badacze opisali setki unikalnych próbek skompilowanych w krótkim czasie, co wskazuje na dynamiczny rozwój kampanii i rosnącą skalę operacyjną.

atakuje przeglądarki oparte na Chromium oraz Firefoxie,
celuje w setki rozszerzeń, głównie związanych z portfelami kryptowalutowymi,
wykorzystuje socjotechnikę i PowerShell do początkowej infekcji,
uruchamia finalny ładunek wyłącznie w pamięci,
stosuje techniki omijania ochrony danych przeglądarki, w tym obejście App-Bound Encryption.

Kontekst / historia

Torg Grabber został zidentyfikowany jako odrębna rodzina malware po wcześniejszych błędnych powiązaniach z innymi stealerami. Analizy wskazują, że od grudnia 2025 do lutego 2026 pojawiły się setki wariantów, co pozwoliło badaczom prześledzić wyraźną ewolucję zagrożenia.

Początkowo malware wykorzystywał prostsze metody eksfiltracji danych, między innymi kanały oparte na komunikatorach. Z czasem operatorzy przeszli do własnego szyfrowanego protokołu TCP, a następnie wdrożyli komunikację HTTPS i dojrzalszą infrastrukturę dowodzenia. Taka zmiana sugeruje przejście od fazy eksperymentalnej do modelu bardziej zorganizowanego i odpornego na zakłócenia.

Znaczącą rolę odgrywa również sposób uzyskania dostępu początkowego. Torg Grabber bywa dostarczany za pomocą techniki ClickFix, w której ofiara jest nakłaniana do samodzielnego uruchomienia złośliwego polecenia PowerShell. To podejście wpisuje się w szerszy trend łączenia socjotechniki z bezplikowymi etapami wykonania kodu.

Analiza techniczna

Pod względem technicznym Torg Grabber jest przykładem nowoczesnego stealera z rozbudowanym łańcuchem ładowania i silnym naciskiem na unikanie detekcji. Infekcja może rozpoczynać się od droppera podszywającego się pod legalne narzędzia, cracki, modyfikacje do gier lub fałszywe instrukcje naprawcze.

Po uruchomieniu dropper osadza kolejne komponenty i przekazuje konfigurację środowiskową, co umożliwia działanie wielu operatorów na wspólnej bazie kodu. W dalszych etapach malware wykorzystuje szyfrowane nakładki, własne procedury dekodowania i reflective loading, dzięki czemu finalny moduł może zostać uruchomiony całkowicie w pamięci, bez klasycznego zapisu pliku wykonywalnego na dysku.

Badacze opisują również zastosowanie wielowarstwowej obfuskacji, dynamicznego rozwiązywania API, bezpośrednich wywołań systemowych oraz technik anti-analysis. Część funkcji pełni rolę pozorną, aby zaciemnić przepływ wykonania i utrudnić dekompilację. To pokazuje, że twórcy malware skupiają się nie tylko na kradzieży danych, ale również na maksymalnym wydłużeniu czasu obecności w systemie.

Szczególnie istotna jest funkcja obejścia App-Bound Encryption w wybranych przeglądarkach opartych na Chromium. Mechanizm ten ma chronić poufne dane, takie jak klucze i ciasteczka, przed prostym odczytem. Według analiz Torg Grabber wykorzystuje technikę wstrzykiwania biblioteki DLL do procesu przeglądarki i uzyskuje dostęp do odpowiednich usług COM, aby pozyskać główny klucz szyfrujący.

Zakres kradzionych danych jest bardzo szeroki. Malware przechwytuje loginy, hasła, cookies, dane autouzupełniania oraz informacje z setek rozszerzeń. Wśród celów dominują rozszerzenia portfeli kryptowalutowych, ale lista obejmuje również menedżery haseł, tokeny uwierzytelniające, aplikacje 2FA, komunikatory, klientów pocztowych, narzędzia VPN, aplikacje FTP, platformy gamingowe i desktopowe portfele kryptowalutowe.

Dodatkowo Torg Grabber potrafi profilować hosta, tworzyć odcisk sprzętowy urządzenia, zbierać informacje o oprogramowaniu ochronnym, wykonywać zrzuty ekranu i kraść pliki z popularnych katalogów użytkownika. W niektórych przypadkach może także pobierać i uruchamiać dodatkowy shellcode dostarczony przez serwer C2.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem infekcji może być utrata środków kryptowalutowych oraz przejęcie tożsamości cyfrowej użytkownika. Kompromitacja rozszerzeń portfeli, ciasteczek sesyjnych i danych z menedżerów haseł może prowadzić do szybkiego przejęcia kont oraz transferu aktywów.

W środowisku firmowym skala ryzyka jest jeszcze większa. Kradzież danych z przeglądarek i narzędzi uwierzytelniających może umożliwić dostęp do usług SaaS, poczty, VPN oraz systemów administracyjnych. Przechwycenie tokenów sesyjnych może dodatkowo pomóc w obejściu części mechanizmów MFA, zwłaszcza jeśli użytkownik posiada aktywne sesje w krytycznych aplikacjach.

Ryzyko zwiększa także elastyczny model działania operatorów. Szybkie modyfikacje kodu, nowe serwery C2 i rozwijana infrastruktura oznaczają, że wykrywanie oparte wyłącznie na statycznych wskaźnikach kompromitacji może być niewystarczające.

Rekomendacje

Podstawą obrony jest ograniczenie skuteczności socjotechniki i nieautoryzowanego uruchamiania poleceń. Użytkownicy powinni być szkoleni, aby nie wykonywać poleceń PowerShell kopiowanych ze stron internetowych, komunikatorów czy rzekomych instrukcji naprawczych.

Na poziomie technicznym warto wdrożyć monitoring poleceń skryptowych, rejestrowanie zdarzeń tworzenia procesów oraz analizę nietypowych łańcuchów uruchomień prowadzących do wstrzykiwania kodu w pamięci. Istotne jest również wykrywanie reflective loading, anomalii w dostępie do przeglądarek i prób pozyskania kluczy szyfrujących z procesów browserów.

ograniczyć uruchamianie nieautoryzowanych plików z katalogów użytkownika i archiwów pobranych z Internetu,
stosować EDR lub XDR z naciskiem na detekcję zachowań in-memory, direct syscalls i API unhooking,
monitorować nietypowe połączenia HTTPS do świeżo zarejestrowanych domen,
analizować użycie przeglądarek jako źródła wycieku danych, zwłaszcza w kontekście cookies i rozszerzeń,
minimalizować liczbę dodatków przechowujących sekrety oraz portfeli instalowanych w przeglądarce,
regularnie czyścić sesje i wylogowywać się z krytycznych usług.

W przypadku podejrzenia infekcji należy natychmiast odłączyć host od sieci, zabezpieczyć artefakty pamięci, unieważnić aktywne sesje w przeglądarkach, zmienić hasła z czystego urządzenia oraz przenieść środki kryptowalutowe do bezpiecznego portfela, jeśli istnieje ryzyko przejęcia kluczy lub tokenów autoryzacyjnych.

Podsumowanie

Torg Grabber to zaawansowany infostealer nowej generacji, który łączy socjotechnikę, wieloetapowe ładowanie, działanie w pamięci oraz szeroki zakres kradzieży danych. Szczególnym celem są portfele kryptowalutowe i rozszerzenia przeglądarkowe związane z aktywami cyfrowymi, ale zagrożenie obejmuje również menedżery haseł, narzędzia MFA i dane sesyjne.

Najważniejszy wniosek jest praktyczny: skuteczna ochrona przed tego typu malware wymaga połączenia edukacji użytkowników, monitoringu behawioralnego, kontroli wykonywania skryptów oraz procedur szybkiej reakcji po incydencie. Torg Grabber pokazuje, że współczesny stealer nie jest już prostym narzędziem do kradzieży haseł, lecz modułową platformą ataku zdolną do omijania nowoczesnych zabezpieczeń przeglądarek.

Źródła

BleepingComputer – New Torg Grabber infostealer malware targets 728 crypto wallets — https://www.bleepingcomputer.com/news/security/new-torg-grabber-infostealer-malware-targets-728-crypto-wallets/
Gen Digital – Torg Grabber: Anatomy of a New Credential Stealer — https://www.gendigital.com/blog/insights/research/torg-grabber-credential-stealer-analysis

FAUX#ELEVATE: fałszywe CV kradną poświadczenia i instalują koparkę Monero

Wprowadzenie do problemu / definicja

Kampania FAUX#ELEVATE pokazuje, że przynęty rekrutacyjne nadal pozostają jednym z najskuteczniejszych sposobów wejścia do środowisk firmowych. Atakujący rozsyłają pliki podszywające się pod życiorysy kandydatów, które po uruchomieniu inicjują wieloetapowy łańcuch infekcji.

W praktyce nie chodzi wyłącznie o phishing. Złośliwy plik prowadzi do kradzieży poświadczeń, eksfiltracji danych lokalnych oraz instalacji koparki kryptowaluty Monero. To połączenie klasycznego infostealera i cryptojackingu sprawia, że incydent może mieć zarówno natychmiastowe, jak i długofalowe skutki operacyjne.

W skrócie

FAUX#ELEVATE to kampania ukierunkowana na organizacje francuskojęzyczne, wykorzystująca fałszywe CV jako nośnik malware. Główny dropper w formie silnie zaciemnionego skryptu VBScript wyświetla komunikat o rzekomo uszkodzonym dokumencie, a w tle uruchamia działania prowadzące do eskalacji uprawnień, osłabienia zabezpieczeń systemowych i pobrania kolejnych komponentów.

Zainfekowana stacja może zostać wykorzystana do kradzieży danych z przeglądarek, wyprowadzenia plików z pulpitu, utrzymania trwałego dostępu oraz wydobywania Monero. Istotnym elementem tej operacji jest selekcja ofiar — malware sprawdza, czy host należy do domeny firmowej, dzięki czemu koncentruje się na systemach o wyższej wartości dla operatorów kampanii.

Kontekst / historia

Przynęty związane z rekrutacją od lat są skuteczne, ponieważ wpisują się w naturalne procesy biznesowe. Działy HR i managerowie regularnie otwierają dokumenty od kandydatów, co obniża czujność i zwiększa szansę powodzenia ataku.

W przypadku FAUX#ELEVATE atakujący zastosowali podejście typu living-off-the-land, łącząc legalne narzędzia systemowe, zaufane usługi i przejęte strony internetowe. Taka strategia utrudnia wykrycie, ponieważ część aktywności może przypominać zwykłe działania administracyjne lub użytkowe.

Analiza techniczna

Punkt wejścia stanowi wiadomość phishingowa z załączonym plikiem VBS nazwanym tak, aby wyglądał jak dokument aplikacyjny. Po uruchomieniu skrypt wyświetla użytkownikowi fałszywy komunikat o błędzie, sugerując uszkodzenie pliku, podczas gdy faktyczny kod uruchamia kontrole antyanalityczne i próby wymuszenia podniesienia uprawnień przez monity UAC.

Jedną z najbardziej charakterystycznych cech próbki jest bardzo silne zaciemnienie. Plik składa się z ogromnej liczby linii, z których tylko niewielka część odpowiada za rzeczywiste wykonanie kodu. Reszta ma za zadanie zwiększyć rozmiar próbki, utrudnić analizę statyczną i podnieść koszt pracy analityków.

Po uzyskaniu wyższych uprawnień dropper modyfikuje lokalne ustawienia ochrony. Dodawane są wykluczenia w Microsoft Defender dla głównych liter dysków, a następnie zmieniane są ustawienia UAC w rejestrze. Skrypt usuwa też własny plik, aby ograniczyć widoczność śladów pozostawionych na hoście.

W dalszej fazie malware pobiera dwa archiwa 7-Zip zabezpieczone hasłem. Zawierają one komponenty do kradzieży danych, utrzymania dostępu i uruchomienia koparki. Wśród nich znajdują się moduły przechwytujące dane z przeglądarek opartych na Chromium, narzędzia do wyciągania profili i poświadczeń Firefoksa, skrypt do eksfiltracji plików z pulpitu, trojan komunikujący się z infrastrukturą sterującą oraz koparka XMRig.

Szczególnie ważny jest mechanizm selekcji ofiar. Za pomocą WMI malware sprawdza, czy system jest przyłączony do domeny. Pełny łańcuch infekcji aktywuje się tylko na komputerach firmowych, co ogranicza ekspozycję kampanii i zwiększa szansę pozyskania wartościowych poświadczeń korporacyjnych.

Kradzież danych z przeglądarek obejmuje także obejście zabezpieczeń App-Bound Encryption w środowiskach Chromium z użyciem narzędzia bazującego na projekcie ChromElevator. Dodatkowo używany jest moduł dla Firefoksa oraz skrypt wyprowadzający pliki z pulpitu. Eksfiltracja odbywa się przez SMTP, co jest mniej typowe niż HTTP lub HTTPS, ale może być skuteczne tam, gdzie monitoring ruchu pocztowego ze stacji roboczych jest ograniczony.

Trwałość infekcji realizowana jest wielowarstwowo. Malware tworzy klucze Run w rejestrze oraz ukryte zadanie harmonogramu, które okresowo uruchamia komponenty odpowiedzialne za komunikację z serwerem sterującym i utrzymanie koparki. Nazwy artefaktów zostały dobrane tak, aby przypominały legalne elementy systemowe.

Koparka Monero wykorzystuje również legalny sterownik jądra WinRing0x64.sys, co pozwala na bardziej efektywne sterowanie ustawieniami procesora. Po zakończeniu etapu kradzieży części danych część narzędzi jest usuwana, a na systemie pozostają głównie elementy związane z persistence i wydobywaniem kryptowaluty, co utrudnia późniejszą rekonstrukcję incydentu.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem kampanii jest utrata poświadczeń zapisanych w przeglądarkach. Mogą to być loginy do usług biznesowych, kont SaaS, sesji administracyjnych oraz narzędzi wewnętrznych, co otwiera drogę do ruchu bocznego i wtórnych kompromitacji.

Drugim istotnym zagrożeniem jest eksfiltracja plików lokalnych, zwłaszcza danych przechowywanych na pulpicie użytkownika. W praktyce często znajdują się tam dokumenty robocze, raporty, zestawienia finansowe, pliki HR i inne materiały, które mogą nie być objęte pełną kontrolą bezpieczeństwa.

Trzecim obszarem ryzyka jest cryptojacking. Uruchomienie koparki Monero obniża wydajność stacji roboczej, zwiększa zużycie energii i może wpływać na żywotność sprzętu. Co ważne, organizacja może zauważyć jedynie spadek wydajności i przeoczyć wcześniejszą kradzież danych.

Niepokojący jest także krótki czas realizacji infekcji. Od uruchomienia skryptu do eksfiltracji poświadczeń może minąć zaledwie kilkadziesiąt sekund, co znacząco skraca okno reakcji dla zespołów SOC i administratorów.

Rekomendacje

Organizacje powinny potraktować proces obsługi aplikacji kandydatów jako obszar podwyższonego ryzyka. W praktyce warto odseparować analizę załączników rekrutacyjnych od standardowej pracy użytkowników i wdrożyć ich skanowanie w środowiskach izolowanych.

blokować uruchamianie VBScript z katalogów użytkownika oraz ograniczać obsługę nietypowych rozszerzeń plików,
monitorować procesy potomne uruchamiane przez wscript.exe i cscript.exe, zwłaszcza gdy wywołują cmd.exe, powershell.exe lub schtasks.exe,
wykrywać próby dodawania wykluczeń w Defenderze oraz zmiany ustawień UAC i autostartu,
kontrolować nietypowe połączenia SMTP ze stacji roboczych użytkowników,
szukać artefaktów persistence w kluczach Run i ukrytych zadaniach harmonogramu,
ograniczać lokalne uprawnienia administracyjne zgodnie z zasadą least privilege,
centralnie logować zdarzenia PowerShell, WMI i harmonogramu zadań,
po potwierdzonym uruchomieniu próbki resetować poświadczenia i unieważniać aktywne sesje,
prowadzić dodatkowe szkolenia dla działów HR i rekrutacji dotyczące fałszywych aplikacji kandydatów.

Podsumowanie

FAUX#ELEVATE to przykład dojrzałej kampanii cyberprzestępczej, która maksymalizuje zysk z pojedynczej kompromitacji. Łączy wiarygodną przynętę biznesową z kradzieżą poświadczeń, eksfiltracją danych, mechanizmami trwałości i kopaniem kryptowaluty.

Z perspektywy obrońców kluczowe znaczenie ma nie tylko ochrona infrastruktury technicznej, ale również zabezpieczenie codziennych procesów biznesowych, takich jak rekrutacja. To właśnie w tych pozornie rutynowych obszarach atakujący coraz częściej znajdują najłatwiejszą drogę do środowiska organizacji.

Źródła

The Hacker News — https://thehackernews.com/2026/03/hackers-use-fake-resumes-to-steal.html
Securonix Threat Research: FAUX#ELEVATE — https://www.securonix.com/blog/faux-elevate-threat-actors-crypto-miners-and-infostealers/

VoidStealer omija zabezpieczenia Chrome i wykrada klucz główny z pamięci przeglądarki

Wprowadzenie do problemu / definicja

VoidStealer to złośliwe oprogramowanie klasy infostealer, zaprojektowane do kradzieży danych przechowywanych w przeglądarkach internetowych. Najnowsze obserwacje pokazują, że zagrożenie potrafi obejść mechanizm Application-Bound Encryption wdrożony w Google Chrome, którego celem było utrudnienie przechwytywania kluczy szyfrujących i ochrony wrażliwych danych użytkownika.

W praktyce oznacza to, że nawet nowoczesne zabezpieczenia przeglądarki nie gwarantują pełnej ochrony, jeśli atakujący potrafi przechwycić sekret w krótkim momencie jego obecności w pamięci operacyjnej. To właśnie na takim podejściu opiera się nowa technika przypisywana VoidStealerowi.

W skrócie

Badacze opisali metodę, w której VoidStealer wykorzystuje funkcje debuggera oraz sprzętowe breakpointy do przechwycenia klucza v20_master_key w chwili, gdy przeglądarka przetwarza go w pamięci. Atak nie wymaga klasycznego wstrzykiwania kodu do procesu ani eskalacji uprawnień, co istotnie utrudnia wykrycie.

malware omija ochronę ABE w Chrome i potencjalnie także w przeglądarkach opartych na tym samym modelu,
sekret jest przechwytywany dynamicznie z pamięci, a nie pozyskiwany statycznie z dysku,
technika została powiązana z wersją 2.0 platformy VoidStealer oferowanej w modelu malware-as-a-service,
przejęcie klucza otwiera drogę do odszyfrowania cookies, zapisanych haseł i innych lokalnych danych uwierzytelniających.

Kontekst / historia

Google wprowadziło Application-Bound Encryption w Chrome 127 w 2024 roku jako odpowiedź na falę infostealerów przechwytujących dane z przeglądarek na systemie Windows. Mechanizm miał powiązać proces odszyfrowywania z bardziej zaufanym kontekstem, tak aby zwykły proces użytkownika nie mógł łatwo odzyskać materiału kryptograficznego.

Zmiana podniosła poprzeczkę dla cyberprzestępców, ale nie zatrzymała rozwoju technik ofensywnych. Zamiast koncentrować się wyłącznie na plikach przechowywanych na dysku, twórcy malware zaczęli analizować sam moment użycia klucza przez przeglądarkę. VoidStealer jest przykładem tej ewolucji, ponieważ przenosi ciężar ataku z warstwy statycznej do dynamicznej obserwacji procesu.

To ważny trend także z perspektywy obrońców. Współczesne kampanie nie zawsze próbują łamać zabezpieczenia wprost. Coraz częściej wykorzystują legalne zachowanie aplikacji i krótkie okno czasowe, w którym tajny materiał pojawia się w pamięci w postaci jawnej.

Analiza techniczna

Opisywana technika polega na uruchomieniu ukrytego procesu przeglądarki w stanie wstrzymanym, a następnie podpięciu się do niego jako debugger. Po załadowaniu odpowiedniej biblioteki malware wyszukuje charakterystyczny ciąg i wiąże go z konkretną instrukcją wykonywaną podczas operacji odszyfrowywania danych przeglądarki.

Następnie ustawiane są sprzętowe breakpointy w istniejących i nowo tworzonych wątkach procesu. Gdy podczas startu przeglądarka rozpoczyna przetwarzanie chronionych danych, aktywowana zostaje ścieżka wykonania, w której klucz v20_master_key pojawia się chwilowo w pamięci jawnej. W tym momencie złośliwe oprogramowanie odczytuje odpowiedni rejestr procesora, uzyskuje wskaźnik do klucza i pobiera zawartość pamięci procesu.

Z perspektywy bezpieczeństwa szczególnie groźne są trzy elementy tej metody. Po pierwsze, nie ma potrzeby stosowania klasycznego code injection, więc część tradycyjnych sygnałów detekcyjnych może w ogóle się nie pojawić. Po drugie, atak nie wymaga podnoszenia uprawnień, ponieważ wykorzystuje legalny cykl odszyfrowywania danych przez przeglądarkę. Po trzecie, całe przechwycenie odbywa się w bardzo krótkim przedziale czasu, co ogranicza szanse wykrycia przez uproszczone mechanizmy monitorujące.

Analiza wskazuje również, że metoda może rozwijać wcześniejsze publicznie znane koncepcje dotyczące słabości ochrony danych przeglądarkowych. To pokazuje, jak szybko techniki prezentowane w badaniach bezpieczeństwa mogą zostać zaadaptowane przez operatorów aktywnych kampanii cyberprzestępczych.

Konsekwencje / ryzyko

Najważniejszym skutkiem powodzenia ataku jest odzyskanie klucza głównego używanego przez przeglądarkę do ochrony poufnych danych. Po jego przejęciu operator malware może odszyfrować cookies sesyjne, zapisane loginy, dane formularzy oraz inne lokalnie przechowywane sekrety.

Dla użytkowników indywidualnych oznacza to ryzyko przejęcia kont i obejścia części mechanizmów ochronnych opartych na aktywnej sesji. W przypadku organizacji konsekwencje są zwykle znacznie poważniejsze. Skradzione cookies i dane logowania mogą umożliwić nieautoryzowany dostęp do poczty, narzędzi SaaS, paneli administracyjnych, środowisk wsparcia, a nawet zasobów chmurowych.

Infostealer staje się w takim scenariuszu nie tylko narzędziem kradzieży danych, ale także punktem wejścia do dalszych etapów ataku. Może prowadzić do ruchu bocznego, oszustw finansowych, eskalacji działań przestępczych lub wdrożenia kolejnych ładunków malware. Dodatkowym problemem jest model malware-as-a-service, który ułatwia szybkie upowszechnianie zaawansowanych technik w szerszym ekosystemie przestępczym.

Rekomendacje

Organizacje nie powinny zakładać, że sama aktualizacja przeglądarki eliminuje ryzyko związane z nowoczesnymi infostealerami. W przypadku technik pamięciowych konieczne jest monitorowanie zachowania procesów oraz wykrywanie anomalii wokół debugowania i dostępu do pamięci przeglądarek.

utrzymywać aktualne wersje przeglądarek, systemów operacyjnych i narzędzi EDR,
wdrożyć kontrolę aplikacji ograniczającą uruchamianie nieautoryzowanego oprogramowania,
monitorować podejrzane operacje debugowania procesów chrome.exe i msedge.exe,
korelować telemetrię z uruchamianiem ukrytych lub wstrzymanych instancji przeglądarek,
wykrywać i blokować loadery, droppery oraz kampanie dystrybucji infostealerów,
stosować silne MFA tam, gdzie możliwe jest ograniczenie skutków przejęcia sesji,
po incydencie szybko wygaszać sesje, resetować hasła i rotować poświadczenia,
izolować zainfekowane stacje robocze i prowadzić triage pamięci oraz procesów.

Z punktu widzenia reagowania na incydenty kluczowe jest założenie, że wykrycie infostealera może oznaczać przejęcie aktywnych sesji użytkownika. Samo usunięcie malware nie powinno być traktowane jako zakończenie incydentu. Niezbędna jest analiza logów dostępu, unieważnienie tokenów sesyjnych oraz sprawdzenie, czy napastnik nie uzyskał trwałego dostępu dodatkowymi metodami.

Podsumowanie

VoidStealer pokazuje, że obejście nowoczesnych zabezpieczeń przeglądarki nie musi polegać na łamaniu kryptografii. Wystarczy precyzyjne wykorzystanie chwili, w której klucz szyfrujący pojawia się w pamięci podczas legalnej operacji. To znacząco podnosi poziom zagrożenia ze strony infostealerów i utrudnia ich wykrywanie klasycznymi metodami.

Dla zespołów bezpieczeństwa jest to wyraźny sygnał, że ochrona danych przeglądarkowych wymaga szerszego spojrzenia niż tylko aktualizacja oprogramowania. Coraz większe znaczenie ma obserwacja zachowania procesów, analiza pamięci oraz szybka reakcja na symptomy kradzieży sesji i poświadczeń.

Źródła

https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html
https://www.gendigital.com/blog/insights/research/voidstealer-chrome-abe-bypass

Francja: ANSSI odnotowuje spadek ataków ransomware w 2025 roku, ale zagrożenie nie znika

Wprowadzenie do problemu / definicja

Ransomware pozostaje jednym z najpoważniejszych zagrożeń dla organizacji publicznych i prywatnych, ponieważ łączy paraliż operacyjny z presją finansową, reputacyjną i prawną. Najnowsze dane z Francji sugerują jednak częściowe osłabienie skali tego zjawiska. Francuska agencja ANSSI poinformowała o spadku liczby zgłaszanych ataków ransomware w 2025 roku, co można interpretować jako efekt przetasowań w ekosystemie cyberprzestępczym po działaniach wymierzonych w największe grupy typu ransomware-as-a-service.

Nie oznacza to jednak trwałego odwrotu zagrożenia. Spadek liczby incydentów nie musi iść w parze ze spadkiem ich dotkliwości, a pojedynczy skuteczny atak nadal może prowadzić do poważnych zakłóceń działalności, utraty danych oraz kosztownych procesów odtworzeniowych.

W skrócie

Francuski krajobraz ransomware znajduje się obecnie w fazie reorganizacji. Według informacji ANSSI liczba incydentów spada względem wcześniejszych okresów, ale zagrożenie wciąż pozostaje istotne dla administracji, edukacji, ochrony zdrowia i sektora prywatnego.

spadek liczby zgłaszanych ataków w 2025 roku nie oznacza końca problemu;
ekosystem ransomware ulega decentralizacji po uderzeniach w największe grupy;
napastnicy częściej zmieniają narzędzia, marki i techniki działania;
rośnie znaczenie ataków na środowiska VMware ESXi oraz wykorzystania legalnych poświadczeń;
organizacje powinny wykorzystać obecny okres na wzmocnienie odporności operacyjnej.

Kontekst / historia

Francja od kilku lat pozostaje aktywnym celem grup ransomware. Z opublikowanego przeglądu zagrożeń ANSSI wynika, że w 2024 roku do agencji zgłoszono 144 przypadki naruszeń związanych z ransomware. Chociaż poziom zagrożenia ustabilizował się rok do roku, problem nadal silnie oddziaływał na organizacje różnej wielkości.

Najbardziej narażone były małe i średnie podmioty, ale istotny odsetek ofiar stanowiły również jednostki samorządowe, przedsiębiorstwa strategiczne oraz sektor szkolnictwa wyższego. W 2024 roku ANSSI obserwowała 39 różnych rodzin ransomware, z których najczęściej raportowano LockBit 3.0, RansomHub oraz Akira.

Taki obraz wpisuje się w szerszy trend osłabienia dominacji kilku największych usług ransomware-as-a-service. Operacje organów ścigania, problemy infrastrukturalne oraz presja międzynarodowa doprowadziły do czasowej destabilizacji części najbardziej rozpoznawalnych marek. W praktyce nie usunęło to zagrożenia, ale przyspieszyło jego rozproszenie na większą liczbę mniejszych i bardziej elastycznych grup.

Analiza techniczna

Techniczny poziom współczesnych kampanii ransomware pozostaje wysoki, mimo spadku liczby zgłoszeń. Ataki nadal opierają się na dobrze znanym łańcuchu działań: uzyskaniu dostępu początkowego, eskalacji uprawnień, ruchu bocznym, eksfiltracji danych i końcowym szyfrowaniu systemów.

ANSSI zwraca uwagę na rosnącą aktywność nowych i mniej dojrzałych grup, które korzystają ze zmodyfikowanych wersji wcześniej ujawnionych kodów ransomware. Taki model obniża barierę wejścia dla cyberprzestępców, zwiększa liczbę aktywnych aktorów i utrudnia obrońcom identyfikację kampanii na podstawie trwałych wskaźników kompromitacji.

Istotnym elementem obecnego krajobrazu zagrożeń są ataki na środowiska VMware ESXi. W opisanych przez Microsoft przypadkach operatorzy ransomware wykorzystywali podatność CVE-2024-37085 do uzyskania podwyższonych uprawnień na hiperwizorach ESXi. To szczególnie groźna technika, ponieważ kompromitacja warstwy wirtualizacyjnej może umożliwić masowe szyfrowanie wielu maszyn wirtualnych jednocześnie i szybkie zakłócenie działania usług krytycznych.

Napastnicy coraz częściej łączą exploity z kradzieżą poświadczeń, nadużyciem legalnych narzędzi administracyjnych oraz współpracą z brokerami dostępu początkowego. W efekcie celem kampanii nie jest już wyłącznie zaszyfrowanie zasobów, ale również kradzież danych wykorzystywana do dodatkowego szantażu i zwiększenia presji na ofiarę.

Konsekwencje / ryzyko

Dla organizacji działających we Francji i szerzej w Europie najważniejszy wniosek jest prosty: mniejsza liczba incydentów nie oznacza automatycznie mniejszego ryzyka biznesowego. Pojedynczy atak ransomware nadal może skutkować zatrzymaniem produkcji, niedostępnością usług publicznych, utratą danych, kosztami odbudowy środowiska oraz konsekwencjami regulacyjnymi.

Szczególnie narażone pozostają podmioty o ograniczonych zasobach bezpieczeństwa, instytucje edukacyjne oraz organizacje utrzymujące rozbudowane środowiska wirtualne. Dodatkowym wyzwaniem jest fragmentacja ekosystemu ransomware, która utrudnia profilowanie przeciwników, analizę ich technik oraz szybkie mapowanie incydentów do konkretnych grup.

Ryzyko rośnie także tam, gdzie bezpieczeństwo opiera się na pojedynczych mechanizmach ochronnych. Jeśli atakujący uzyska dostęp uprzywilejowany do domeny lub platformy wirtualizacyjnej, klasyczne zabezpieczenia stacji roboczych mogą okazać się niewystarczające do zatrzymania pełnoskalowego ataku.

Rekomendacje

Obecny spadek liczby incydentów należy traktować jako okazję do poprawy odporności, a nie sygnał do obniżenia czujności. Kluczowe znaczenie ma skrócenie czasu wykrycia, ograniczenie skutków udanego włamania oraz przygotowanie środowiska na szybkie odtworzenie działania.

pilnie aktualizować systemy brzegowe, serwery i platformy wirtualizacyjne, w tym środowiska ESXi;
wymuszać silne uwierzytelnianie wieloskładnikowe dla kont administracyjnych i zdalnego dostępu;
wdrażać segmentację sieci oraz separację systemów krytycznych od środowisk biurowych;
ograniczać uprawnienia zgodnie z zasadą least privilege;
monitorować użycie narzędzi administracyjnych, ruch boczny i nietypowe zmiany w Active Directory;
utrzymywać kopie zapasowe offline lub niemodyfikowalne oraz regularnie testować odtworzenie;
rozwijać procedury reagowania na incydenty z uwzględnieniem scenariuszy szyfrowania i eksfiltracji danych;
traktować hiperwizory, kontrolery domeny i systemy backupu jako zasoby o najwyższym priorytecie ochrony.

Podsumowanie

Informacje przekazane przez ANSSI wskazują na spadek liczby ataków ransomware we Francji w 2025 roku, jednak nie należy interpretować tego jako trwałego zaniku zagrożenia. Dane z 2024 roku pokazują, że ransomware nadal silnie oddziałuje na francuskie organizacje, a działania przeciw największym grupom doprowadziły raczej do decentralizacji ekosystemu niż do jego eliminacji.

Z perspektywy obrony oznacza to konieczność budowania wielowarstwowej odporności, ochrony tożsamości uprzywilejowanych oraz zabezpieczenia platform wirtualizacyjnych i kopii zapasowych. W nowej fazie rozproszonego ransomware wygrywać będą te organizacje, które inwestują nie tylko w prewencję, ale także w realną gotowość do reakcji i odtworzenia działania po incydencie.