Archiwa: Phishing - Strona 100 z 150 - Security Bez Tabu

Starkiller: nowy phishing-as-a-service, który „proxy’uje” prawdziwe strony logowania i neutralizuje MFA

Wprowadzenie do problemu / definicja luki

Klasyczny phishing „na login” zwykle polega na podsunięciu ofierze statycznej kopii strony logowania (HTML/CSS), która zbiera hasło i czasem kod 2FA. Problem dla przestępców jest prosty: takie klony szybko się „starzeją”, łatwo je fingerprintować i blokować, a każda zmiana interfejsu po stronie prawdziwego serwisu może zdradzić fałszywkę.

Starkiller idzie krok dalej: realizuje atak typu Adversary-in-the-Middle (AiTM) / reverse-proxy phishing, gdzie ofiara wchodzi na stronę pośredniczącą, ale… ogląda prawdziwą stronę logowania serwisu (renderowaną i podawaną przez infrastrukturę napastnika). Dzięki temu MFA może „zadziałać poprawnie”, a mimo to konto zostaje przejęte — bo kluczowy artefakt to nie sam kod MFA, tylko cookie / token sesyjny pozyskany po udanym logowaniu.


W skrócie

  • Starkiller to phishing-as-a-service, który dynamicznie ładuje prawdziwe strony logowania i działa jako reverse proxy między użytkownikiem a właściwym serwisem.
  • Platforma uruchamia kontener Docker z headless Chrome, co pomaga renderować realny frontend i „nadążać” za zmianami po stronie brandu.
  • W pakiecie: keylogger, kradzież cookies/tokenów, podgląd sesji ofiary w czasie rzeczywistym, geotracking, alerty (np. Telegram) oraz analityka kampanii jak w legalnym SaaS.
  • To uderza w organizacje, które opierają ochronę tożsamości na „zwykłym” MFA (SMS/TOTP/push), bez mechanizmów phishing-resistant.

Kontekst / historia / powiązania

Reverse-proxy phishing nie jest nowy — od lat istnieją narzędzia i zestawy PhaaS, które pomagają przechwytywać sesje i omijać MFA. Cisco Talos opisywał, że dzięki gotowym „zestawom” prawie każdy może uruchomić taki atak bez zrozumienia warstwy technicznej, a operatorzy dodają techniki utrudniające automatyczne skanowanie linków czy analizę statyczną.

Nowość Starkillera polega przede wszystkim na opakowaniu (SaaS-owe UX, automatyzacja infrastruktury, niski próg wejścia) i na tym, że zamiast polegać na szablonach stron logowania, platforma podaje ofierze realną treść z prawdziwej domeny — przez pośrednika.


Analiza techniczna / szczegóły

1. Łańcuch ataku (uproszczony)

  1. Ofiara dostaje link, który wizualnie przypomina prawdziwy adres (np. sztuczki z formatem URL). Krebs opisuje m.in. wariant z użyciem znaku „@” w URL, gdzie wszystko przed „@” jest traktowane jak „dane użytkownika”, a faktyczny host jest po nim.
  2. Po kliknięciu Starkiller uruchamia/wykorzystuje przygotowane środowisko: Docker container + headless Chrome, który ładuje prawdziwą stronę logowania brandu.
  3. Kontener działa jako man-in-the-middle reverse proxy: przekazuje żądania do prawdziwego serwisu i odsyła odpowiedzi do ofiary. Użytkownik widzi autentyczny UI, bo to w praktyce „prawdziwa strona przez pośrednika”.
  4. W trakcie logowania Starkiller rejestruje każde naciśnięcie klawisza, dane formularzy i — co kluczowe — tokeny/cookies sesji po udanym logowaniu.
  5. Po przechwyceniu sesji atakujący może wykonać account takeover bez ponownego przechodzenia MFA (bo ma już „gotową” sesję).

2. Dlaczego to omija MFA „mimo że działa”

W modelu reverse proxy MFA nie jest „łamane” kryptograficznie. Ofiara naprawdę loguje się do prawdziwego serwisu i naprawdę wpisuje kod/potwierdza push. Różnica polega na tym, że cały przepływ przechodzi przez infrastrukturę przestępcy, więc ten może przejąć rezultat udanego logowania (cookie/token).

3. Funkcje „platformowe”, które podnoszą skuteczność

  • „Panel” operatora do uruchamiania kampanii i kontenerów bez dłubania w certyfikatach/proxy.
  • Real-time session monitoring (podgląd interakcji ofiary), alerty i analityka konwersji.
  • Elementy maskowania linków (w tym klasyczne triki z URL) i łatwe podszywanie się pod popularne marki.

Praktyczne konsekwencje / ryzyko

Najbardziej narażone są środowiska, gdzie:

  • dostęp do poczty, M365/Google Workspace, VPN/SSO i systemów finansowych opiera się na hasło + TOTP/push,
  • brakuje spójnej polityki urządzeń (device posture), ograniczeń sesji i analityki tożsamości,
  • reakcja na przejęcie konta jest opóźniona (np. brak korelacji logów, brak wykrywania „token replay”, brak reguł „impossible travel”).

W takich warunkach Starkiller ułatwia przejęcie kont uprzywilejowanych i uruchomienie dalszych etapów ataku: BEC, kradzież danych, lateral movement i utrzymanie dostępu przez dodanie nowych metod MFA po stronie konta (częsty pattern w AiTM).


Rekomendacje operacyjne / co zrobić teraz

Ochrona tożsamości (priorytet)

  • Włącz i egzekwuj phishing-resistant MFA tam, gdzie to możliwe: FIDO2/WebAuthn / passkeys / klucze sprzętowe (wiązanie z originem utrudnia reverse-proxy phishing). Cisco Talos wprost wskazuje, że WebAuthn ogranicza ten typ ataku, bo poświadczenia są związane z konkretną domeną/originem.
  • Ogranicz żywotność sesji, stosuj Conditional Access: ryzykowne logowania, nowe urządzenia, nietypowe lokalizacje → dodatkowa weryfikacja lub blokada.

Detekcja i telemetry

  • Poluj na sygnały AiTM: token/cookie reuse, dwa różne UA/IP na tej samej sesji, „impossible travel”, anomalie w logach SSO.
  • W e-mail security ogranicz zaufanie do „ładnego wyglądu” strony: tu strona będzie wyglądać perfekcyjnie, bo jest prawdziwa. Stawiaj na analizę behawioralną i korelację tożsamości.

Higiena kampanii phishingowych

  • Twarde reguły dla użytkowników: zawsze sprawdzaj host po „@” i finalną domenę po przekierowaniach; promuj logowanie przez bookmarki/portale, nie z linków w mailu.
  • Wdróż szybkie playbooki IR dla przejęcia konta: unieważnianie sesji, reset poświadczeń, przegląd reguł skrzynki (forwarding/inbox rules), przegląd zaufanych urządzeń/metod MFA.

Różnice / porównania z innymi przypadkami

  • Klasyczne PhaaS często bazuje na szablonach i „wstrzykniętym” JS. Starkiller w większym stopniu rozwiązuje problem „psujących się” klonów, bo proxy’uje live content.
  • Evilginx i podobne narzędzia są znane i szeroko omawiane jako baza dla AiTM; Starkiller jest bliżej gotowego produktu „dla mas” z automatyzacją, panelem i metrykami, co obniża barierę wejścia i przyspiesza skalowanie kampanii.

Podsumowanie / kluczowe wnioski

Starkiller to kolejny dowód, że „MFA ≠ koniec phishingu”. Gdy atakujący staje się pośrednikiem sesji (AiTM), najcenniejszym łupem są tokeny i cookies, a nie samo hasło czy kod. W praktyce oznacza to konieczność przesunięcia ciężaru obrony z blokowania „fałszywych stron” na ochronę tożsamości, telemetrię sesji oraz phishing-resistant MFA (WebAuthn/FIDO2).


Źródła / bibliografia

  1. KrebsOnSecurity — “‘Starkiller’ Phishing Service Proxies Real Login Pages, MFA” (20 lutego 2026). (Krebs on Security)
  2. Abnormal AI — “Starkiller: New Phishing Framework Proxies Real Login Pages to Bypass MFA” (19 lutego 2026). (Abnormal AI)
  3. Cisco Talos — “State-of-the-art phishing: MFA bypass” (1 maja 2025). (Cisco Talos Blog)
  4. Dark Reading — “Best-in-Class ‘Starkiller’ Phishing Kit Bypasses MFA” (19 lutego 2026). (Dark Reading)
  5. ITPro — “Starkiller: … proxies real login pages” (19 lutego 2026). (IT Pro)

PayPal ujawnia incydent: błąd w aplikacji pożyczkowej ujawnił dane (w tym SSN) przez ~6 miesięcy

Wprowadzenie do problemu / definicja luki

PayPal poinformował klientów o incydencie bezpieczeństwa, którego źródłem nie był klasyczny „hack” infrastruktury, lecz błąd programistyczny (software error) w aplikacji pożyczkowej PayPal Working Capital (PPWC). W efekcie wrażliwe dane części klientów – w tym identyfikatory o wysokiej wartości dla przestępców (np. Social Security Number) – mogły być dostępne dla osób nieuprawnionych przez wielomiesięczne okno czasowe.

Tego typu zdarzenia zalicza się do kategorii błędów logiki aplikacyjnej / kontroli dostępu (broken access control, IDOR, błędna autoryzacja/segmentacja danych) albo regresji po zmianie kodu. Często są trudniejsze do wykrycia niż ataki na perimeter, bo „ruch wygląda legalnie” i odbywa się w ramach normalnych ścieżek użytkownika.


W skrócie

  • Co się stało: PayPal wykrył 12 grudnia 2025 r., że w wyniku błędu w aplikacji PPWC doszło do ekspozycji PII na osoby nieuprawnione.
  • Okno ekspozycji: od 1 lipca 2025 do 13 grudnia 2025 (ok. 6 miesięcy).
  • Zakres danych: m.in. imię i nazwisko, e-mail, telefon, adres biznesowy oraz SSN i data urodzenia (w kombinacji z danymi kontaktowymi).
  • Skala: PayPal przekazał mediom, że mogło to dotyczyć ok. 100 klientów.
  • Skutki finansowe: odnotowano nieautoryzowane transakcje u części poszkodowanych; PayPal deklaruje zwroty.
  • Działania PayPal: rollback zmiany kodu, reset haseł dla dotkniętych kont, dodatkowe kontrole bezpieczeństwa, 2 lata monitoringu kredytowego (Equifax).

Kontekst / historia / powiązania

W komunikacji PayPal (i w relacjach mediów) pojawia się ważny kontekst: to nie pierwszy raz, gdy firma musi informować o zdarzeniu skutkującym ekspozycją wrażliwych danych.

  • W 2022 r. PayPal raportował kampanię credential stuffing, w której napastnicy użyli „par” login/hasło z innych wycieków do przejmowania kont. Skala sięgała ~35 tys. kont.
  • W styczniu 2025 r. Nowojorski regulator (NYDFS) ogłosił karę 2 mln USD za naruszenia regulacji cyberbezpieczeństwa związane z tamtym incydentem i kontrolami bezpieczeństwa.

Warto to zestawić: 2022 r. to „atak na użytkowników” przez reuse haseł; 2025/2026 r. – „błąd po stronie aplikacji” powodujący niezamierzoną ekspozycję danych.


Analiza techniczna / szczegóły luki

Z treści listu notyfikacyjnego wynika, że kluczowa była „error/code change” w PPWC, która doprowadziła do ekspozycji PII „unauthorized individuals” w podanym oknie czasowym.

Co to zwykle oznacza w praktyce (najczęstsze scenariusze w aplikacjach finansowych/pożyczkowych):

  1. Regresja autoryzacji po wdrożeniu zmiany (np. endpoint zwraca dane w oparciu o parametr, który nie jest poprawnie wiązany z tożsamością sesji).
  2. Błąd w warstwie prezentacji/UI lub API gateway, który skutkuje tym, że dane jednego wniosku/klienta stają się widoczne dla innego kontekstu (np. błędne mapowanie identyfikatora wniosku, caching bez rozdzielenia po użytkowniku/tenant).
  3. Niedostateczne testy bezpieczeństwa w SDLC dla ścieżek rzadziej używanych (produkty pożyczkowe dla SMB bywają „na uboczu” względem głównej aplikacji płatniczej).

PayPal deklaruje, że po wykryciu problemu cofnął zmianę kodu (rollback), a także zakończył nieuprawniony dostęp i wdrożył „enhanced security controls” wymuszające reset/ustawienie nowego hasła.

Istotny detal: w relacjach PayPal podkreśla, że „systemy nie zostały skompromitowane”, co jest spójne z narracją „ekspozycji przez błąd”, ale nie zmienia faktu, że skutek dla poufności danych jest realny (dane mogły zostać podejrzane/skopiowane bez „włamania” w tradycyjnym sensie).


Praktyczne konsekwencje / ryzyko

Ekspozycja SSN + data urodzenia + dane kontaktowe to zestaw o bardzo wysokiej wartości dla cyberprzestępców, bo umożliwia m.in.:

  • kradzież tożsamości i próby otwierania produktów finansowych,
  • synthetic identity fraud (miks prawdziwych i fałszywych danych),
  • precyzyjny spear-phishing pod klientów biznesowych (np. podszywanie się pod PayPal/obsługę pożyczki),
  • account takeover w innych usługach, jeśli dane posłużą do „weryfikacji” lub socjotechniki.

Dodatkowo PayPal potwierdził, że u części klientów doszło do nieautoryzowanych transakcji (z deklaracją refundacji), co wskazuje, że incydent nie był wyłącznie „pasywnym wyciekiem” danych.


Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś klientem (zwłaszcza PPWC / SMB)

  1. Zmień hasło do PayPal (unikalne, długie) i włącz MFA – nawet jeśli PayPal wymusi reset, zrób to świadomie i sprawdź historię logowań/transakcji.
  2. Monitoruj transakcje i ustaw alerty (e-mail/SMS/push, jeśli dostępne) oraz rozważ ograniczenia ryzyka (limity, dodatkowe potwierdzenia).
  3. Uważaj na phishing po „głośnym incydencie”: PayPal wprost przypomina, że nie prosi o hasła ani kody jednorazowe przez telefon/SMS/e-mail — to typowy motyw kampanii po ujawnieniu wycieku.
  4. Jeśli dotyczy to Twojej jurysdykcji: rozważ fraud alert lub zamrożenie kredytu (credit freeze). W materiałach notyfikacyjnych PayPal opisuje te opcje i kieruje do biur informacji kredytowej.
  5. Skorzystaj z oferowanego monitoringu kredytowego i identity restoration (w liście wskazano Equifax i proces aktywacji).

Jeśli odpowiadasz za bezpieczeństwo aplikacji (perspektywa zespołów IT/Sec)

  • Wzmocnij testy autoryzacji i kontroli dostępu w CI/CD (testy regresji dla endpointów „rzadko używanych”, testy IDOR, testy multi-tenant).
  • Dodaj telemetrię „data access anomaly”: alerty na nietypowe odczyty rekordów (np. enumeracja, skoki wolumenów odczytów, odczyty międzytenantowe).
  • Utrzymuj feature flags i „safe rollout” dla zmian dotykających danych wrażliwych (stopniowe wdrożenia, szybki rollback).
  • Przeglądaj konfiguracje cache/CDN i mechanizmy personalizacji (to częste źródło przypadkowych ekspozycji).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

PPWC 2025/2026 (błąd aplikacji / ekspozycja danych):

  • wektor: regresja/błąd w kodzie i kontrolach dostępu,
  • ryzyko: „cichy” wyciek danych, trudniejszy do zauważenia,
  • mitigacje: SDLC, testy bezpieczeństwa aplikacji, monitoring dostępu do danych.

PayPal 2022/2023 (credential stuffing / przejęcia kont):

  • wektor: reuse haseł użytkowników + automatyzacja logowań,
  • ryzyko: przejęcie kont i dostęp do danych na poziomie konta,
  • mitigacje: MFA, rate limiting, bot protection, wykrywanie anomalii logowań.

W praktyce organizacje zwykle są lepiej przygotowane na „boty i stuffing” niż na regresje autoryzacji w niszowych modułach biznesowych — a to właśnie takie moduły potrafią ujawnić najbardziej wrażliwe atrybuty (identyfikacyjne).


Podsumowanie / kluczowe wnioski

  • Incydent PayPal pokazuje, że błąd w aplikacji biznesowej może skutkować ekspozycją danych równie dotkliwą jak klasyczny atak, nawet jeśli firma podkreśla brak „kompromitacji systemów”.
  • Największym ryzykiem jest zestaw danych tożsamościowych (SSN + DoB + kontakt), który podnosi prawdopodobieństwo kradzieży tożsamości i ukierunkowanego phishingu.
  • Dla użytkowników najważniejsze są: reset hasła, MFA, monitoring transakcji i czujność na phishing, a dla zespołów IT/Sec: testy autoryzacji, telemetria dostępu do danych i bezpieczne rollouty.

Źródła / bibliografia

  1. BleepingComputer – opis incydentu, oś czasu, działania PayPal i deklarowana skala. (BleepingComputer)
  2. The Register – dodatkowe detale nt. notyfikacji i potwierdzenie informacji o ok. 100 klientach. (The Register)
  3. PayPal – „Notice of Data Breach” (list notyfikacyjny, 10 lutego 2026) – zakres danych i działania naprawcze.
  4. NYDFS – komunikat o karze 2 mln USD (kontekst historyczny, regulacyjny). (Department of Financial Services)
  5. SecurityWeek – opis incydentu credential stuffing dotykającego ~35 tys. kont (kontekst). (SecurityWeek)

Brand trust jako broń: kampanie multi-brand podszywające się pod DocuSign i SimpleHelp dostarczają malware w paczce JWrapper

Wprowadzenie do problemu / definicja luki

Najnowsze kampanie phishingowe coraz częściej nie opierają się na jednej „podszytej” marce, tylko łączą kilka zaufanych brandów w jednym łańcuchu socjotechnicznym. Cofense opisało przykład, w którym atakujący wykorzystują reputację DocuSign (podpis elektroniczny) oraz narrację wokół SimpleHelp (legalny RMM do zdalnej administracji), aby doprowadzić ofiarę do uruchomienia złośliwie przygotowanego instalatora spakowanego JWrapper.

W praktyce nie jest to „nowy RAT” w sensie kodu malware, tylko legalne narzędzie zdalnego dostępu użyte w nielegalnym celu. Różnicę robi sposób dostarczenia, „opakowanie” (JWrapper) i obchodzenie kontroli bezpieczeństwa przez miks wiarygodnych marek.

W skrócie

  • Kampanie multi-brand impersonation zwiększają skuteczność, bo ofiara widzi więcej niż jeden „znany” brand i łatwiej zawiesza czujność.
  • JWrapper działa tu jako framework instalacyjny (Java), który potrafi spakować aplikację wraz z JVM w jeden, przenośny plik wykonywalny – wygodne zarówno dla legalnych vendorów, jak i przestępców.
  • Rdzeniem zdalnej kontroli jest SimpleHelp – legalny RMM, który bywa nadużywany przez threat actorów ze względu na „pozory legalności” i użyteczność po uzyskaniu dostępu.

Kontekst / historia / powiązania

Nadużywanie narzędzi RMM (Remote Monitoring and Management) w atakach to utrwalony trend: napastnicy lubią je, bo pozwalają działać „hands-on-keyboard” i przypominać aktywność administratora. Red Canary (wspólnie z threat hunterami Zscaler) opisywało liczne kampanie phishingowe, które kończą się instalacją RMM (m.in. SimpleHelp), często pod pretekstami typu fałszywe aktualizacje, zaproszenia czy formularze.

Równolegle, ekosystem SimpleHelp ma historię problemów „około-ransomware”: CISA ostrzegała, że aktorzy ransomware wykorzystywali niezałatane instancje SimpleHelp (m.in. podatność CVE-2024-57727) jako wektor kompromitacji środowisk downstream.
To ważne tło: nawet jeśli w kampanii z Cofense SimpleHelp jest głównie „narzędziem zdalnego dostępu”, to w innych scenariuszach bywa też punktem wejścia (gdy jest wystawiony i podatny).

Analiza techniczna / szczegóły luki

1) „Stackowanie zaufania”: DocuSign → SimpleHelp → uruchomienie payloadu

Cofense zwraca uwagę na mechanikę kampanii: atakujący podszywają się pod DocuSign (znany workflow dokumentowy) oraz elementy komunikacji/brandingu, a następnie prowadzą ofiarę do pobrania i uruchomienia pliku, który finalnie instaluje/uruchamia komponenty powiązane z SimpleHelp.
Kluczowy jest efekt psychologiczny: „to wygląda jak standardowy proces dokumentowy” + „to wygląda jak narzędzie zdalnego wsparcia”.

2) Rola JWrapper: dystrybucja i „opakowanie” wykonania

W opisywanych próbkach SimpleHelp był spakowany JWrapperem – czyli w postaci wykonywalnego instalatora, który zawiera wymagane pliki aplikacji i JVM. To ułatwia:

  • uruchomienie na wielu systemach (cross-platform),
  • dystrybucję jako pojedynczy binarny artefakt,
  • dołożenie „dodatków” typowych dla kampanii (np. utrudnianie analizy, elementy persystencji) bez zmieniania samego SimpleHelp.

3) SimpleHelp jako „legalny RAT”

Cofense podkreśla wprost: JWrapper jest „opakowaniem”, a funkcję zdalnej kontroli zapewnia SimpleHelp – dlatego z punktu widzenia detekcji/reakcji to SimpleHelp jest głównym obiektem zainteresowania.
To idealnie wpisuje się w obserwacje Red Canary: RMM daje napastnikom skuteczny kanał zdalnych działań, często trudniejszy do odróżnienia od legalnej administracji.

4) Co pokazują incydenty z „prawdziwego świata”

Huntress opisał świeże (styczeń–luty 2026) intruzje, w których aktorzy łączyli różne legalne narzędzia (monitoring pracowników + SimpleHelp) dla redundancji dostępu i persystencji, a całość prowadziła do prób wdrożenia ransomware.
Wniosek: nawet jeśli start jest „tylko phishingiem”, końcówka kill chain bardzo często skręca w stronę długotrwałego dostępu, kradzieży danych i/lub ransomware.

Praktyczne konsekwencje / ryzyko

  1. Wyższa klikalność i niższa czujność użytkowników – multi-brand narracja redukuje „czerwone flagi”.
  2. Trudniejsza analiza na etapie e-mail security – bo część elementów (nazwy, workflow, treść) wygląda jak typowy biznesowy proces.
  3. Ryzyko „cichego” przejęcia hosta – RMM umożliwia natychmiastowe działania na maszynie ofiary bez klasycznego malware loadera.
  4. Możliwa eskalacja do ransomware/double extortion – zgodnie z trendami nadużyć SimpleHelp oraz ostrzeżeniami o eksploatacji niezałatanych wdrożeń.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

  • Polowanie na SimpleHelp: inwentaryzuj obecność agentów/instalacji, zwłaszcza jeśli organizacja nie używa tego narzędzia operacyjnie (albo używa – ale tylko w wybranych segmentach).
  • Weryfikacja „dlaczego to się uruchomiło”: koreluj zdarzenia e-mail → pobranie → uruchomienie binarki (EDR + proxy/DNS + telemetryka przeglądarki).
  • Zasady dla uruchamiania nowych binarek: App Control / WDAC / ASR / allow-listing dla nietypowych, świeżych plików wykonywalnych z katalogów użytkownika.

Twardnienie środowiska (1–4 tygodnie)

  • RMM jako kategoria wysokiego ryzyka: traktuj instalację/uruchomienie RMM jak zdarzenie krytyczne (alerty na procesy, usługi, persistence). To zgodne z obserwacjami, że RMM to ulubione narzędzie przeciwnika.
  • Segmentacja i ograniczenia zdalnego dostępu: ogranicz, kto może inicjować zdalne sesje, skąd i do czego (jump hosty, PAM, MFA).
  • Patching i ekspozycja SimpleHelp: jeśli SimpleHelp jest używany, pilnuj wersji/łat oraz ekspozycji na internet – CISA opisywała realne nadużycia niezałatanych instancji (m.in. CVE-2024-57727).

Edukacja użytkowników (ciągle)

  • Ucz „rozbrajania” zaufania do brandów: DocuSign-podobne procesy zawsze weryfikować kanałem niezależnym (np. wejście na portal z zakładki, nie z linku).

Różnice / porównania z innymi przypadkami

  • Klasyczne brand impersonation zwykle „gra” jedną marką (np. kurier, bank). Tu atakujący stosują kompozycję brandów (DocuSign + kontekst zdalnego wsparcia), co lepiej maskuje anomalię i podbija wiarygodność.
  • W wielu kampaniach malware jest „autorski”. W tym podejściu wygrywa LOTL (living-off-the-land) / living-off-the-tools): legalny RMM daje funkcjonalność RAT, a „innowacja” dzieje się w dostarczeniu (phishing) i opakowaniu (JWrapper).

Podsumowanie / kluczowe wnioski

  • Multi-brand impersonation to skuteczny wzorzec: zaufanie do marek staje się podatnością.
  • JWrapper w tym łańcuchu to przede wszystkim mechanizm pakowania/dystrybucji, a realną kontrolę zapewnia SimpleHelp.
  • Obrona wymaga podejścia „RMM-aware”: widoczność, reguły na instalację/uruchomienie, oraz jasne procesy, gdzie i kiedy RMM jest dozwolony.
  • Jeśli SimpleHelp jest w organizacji, patching i ograniczenie ekspozycji są krytyczne – historia eksploatacji podatności pokazuje, że to narzędzie jest na radarze grup ransomware.

Źródła / bibliografia

  1. Cofense – Brand Trust as a Weapon: Multi-Brand Impersonation Campaigns Deliver JWrapper Malware (19.02.2026) (Cofense)
  2. Red Canary – You’re invited: Four phishing lures in campaigns dropping RMM tools (12.09.2025) (Red Canary)
  3. Huntress – Employee Monitoring and SimpleHelp Software Abused in Ransomware Operations (11.02.2026) (Huntress)
  4. CISA – Ransomware Actors Exploit Unpatched SimpleHelp… (AA25-163A, 12.06.2025 – opis/alert) (CISA)
  5. Picus Security – omówienie AA25-163A i CVE-2024-57727 (24.06.2025) (Picus Security)

Nowa kampania phishingowa omija MFA w Microsoft 365, wykorzystując „device code” i kradzież tokenów OAuth

Wprowadzenie do problemu / definicja luki

Pojawiła się kolejna fala ataków typu device code phishing, w której ofiary są nakłaniane do wpisania „kodu autoryzacji” na legalnej stronie Microsoftu, a w efekcie… same podpinają urządzenie lub sesję atakującego do swojego konta Microsoft 365. To istotne, bo w tym modelu ataku MFA może zostać poprawnie wykonane przez użytkownika, a mimo to napastnik uzyskuje dostęp – nie poprzez kradzież hasła, tylko poprzez pozyskanie tokenów OAuth (access/refresh) i utrzymanie trwałej sesji.


W skrócie

  • Kampania jest opisana przez CSO Online na bazie ustaleń KnowBe4 i celuje głównie w firmy oraz profesjonalistów w Ameryce Północnej.
  • Przynęty obejmują m.in. „płatność firmową”, „dokument o premiach”, „voicemail” i inne tematy pilne, które mają skłonić do szybkiej reakcji.
  • Użytkownik trafia na prawdziwy portal Microsoft do logowania urządzeń (np. microsoft.com/devicelogin) i wpisuje kod dostarczony przez atakującego.
  • Skutek: atakujący uzyskuje ważne tokeny OAuth i dostęp do zasobów M365 (Outlook, Teams, OneDrive), często w sposób bardziej „trwały” niż jednorazowe przechwycenie hasła.

Kontekst / historia / powiązania

Device code phishing nie jest nowy, ale w ostatnich kilkunastu miesiącach zyskał na popularności, bo:

  • odbywa się na legalnej domenie Microsoft, co utrudnia wykrycie użytkownikowi (i część kontroli URL),
  • omija klasyczne mechanizmy „wyłapywania” fałszywych stron logowania,
  • wspiera go rosnący ekosystem narzędzi i procedur (np. opisywanych publicznie łańcuchów ataku oraz automatyzacji).

Microsoft opisywał podobne działania w kontekście aktora śledzonego jako Storm-2372, gdzie mechanizm device code był wykorzystywany do przechwytywania tokenów i dalszych działań w Microsoft 365 (w tym nadużyć Graph API).


Analiza techniczna / szczegóły luki

Warto podkreślić: to nie „dziura” w MFA jako takiej, tylko nadużycie prawidłowego przepływu OAuth 2.0 Device Authorization Grant.

Typowy łańcuch ataku (krok po kroku)

  1. E-mail phishingowy z przynętą biznesową (płatność, dokument, wiadomość głosowa itp.).
  2. Wiadomość zawiera kod „Secure Authorization” oraz link prowadzący do procesu logowania.
  3. Ofiara ląduje na prawdziwej stronie Microsoft do wprowadzenia kodu urządzenia (KnowBe4 wskazuje wprost microsoft.com/devicelogin).
  4. Użytkownik uwierzytelnia się normalnie (często także z MFA), ale… wpisany kod nie dotyczy jego urządzenia – tylko sesji/urządzenia kontrolowanego przez atakującego.
  5. Atakujący „polluje” endpointy tokenów i przejmuje OAuth Access Token + Refresh Token, co daje dostęp do M365 bez potrzeby posiadania hasła użytkownika.
  6. Dostęp może utrzymywać się tak długo, jak ważne są tokeny (lub jak długo napastnik potrafi je odnawiać / utrwalać dostęp), co zwiększa ryzyko długiej, cichej kompromitacji.

Dlaczego to działa mimo MFA?

Bo MFA jest wykonywane „we właściwym miejscu” (u Microsoftu), a użytkownik w praktyce autoryzuje dostęp innej sesji. Z perspektywy systemu to wygląda jak legalne powiązanie urządzenia/aplikacji i wydanie tokenów.


Praktyczne konsekwencje / ryzyko

Skutki biznesowe są klasyczne dla przejęcia kont M365, ale często bardziej podstępne:

  • dostęp do poczty (Outlook): przejęcie korespondencji, reset haseł w innych usługach, BEC/CEO fraud,
  • dostęp do Teams: podszywanie się, ataki wewnątrz organizacji, wyłudzanie kolejnych autoryzacji,
  • dostęp do OneDrive/SharePoint: eksfiltracja dokumentów i danych wrażliwych,
  • możliwe wykorzystanie Microsoft Graph do przeszukiwania i pobierania danych (Microsoft wskazywał takie aktywności przy podobnych kampaniach).

Rekomendacje operacyjne / co zrobić teraz

Poniżej podejście „warstwowe” (ludzie + konfiguracja + detekcja):

1) Ogranicz lub wyłącz device code flow tam, gdzie to możliwe

Jeśli w Twojej organizacji nie jest wymagany przepływ „Device Authorization Grant”, rozważ jego blokadę / ograniczenie przez polityki tożsamości i dostępu (np. Conditional Access w Entra ID) oraz dopuszczanie tylko znanych scenariuszy/klientów. To jeden z najskuteczniejszych sposobów „ucięcia” tego typu nadużyć. (W praktyce: najpierw inwentaryzacja zależności, potem stopniowe ograniczanie).

2) Wymuś silniejsze warunki dostępu

  • wymagaj zgodnego (compliant) urządzenia i/lub zarządzania (MDM) dla dostępu do M365,
  • ograniczaj logowania według lokalizacji/ryzyka,
  • minimalizuj możliwość dodawania nowych urządzeń/sesji bez dodatkowych warunków.

3) Utnij „łatwe” nadużycia tokenów

  • ogranicz uprawnienia i zgody aplikacji (app consent), monitoruj nietypowe autoryzacje aplikacji,
  • przeglądaj sesje i odświeżane tokeny; po incydencie: unieważnij sesje / wymuś ponowne logowanie (revocation), rotuj poświadczenia tam, gdzie to konieczne.

4) Detekcja i monitoring

  • monitoruj zdarzenia logowania i nietypowe użycie devicelogin/device code sign-in,
  • alertuj na nagłe, nietypowe wzorce dostępu do Outlook/Teams/OneDrive krótko po autoryzacji device code,
  • koreluj z anomaliami w Graph API (szczególnie masowe wyszukiwanie/pobieranie).

5) Procedury i szkolenia „pod ten konkretny trik”

Użytkownik widzi prawdziwą stronę Microsoft – więc szkolenia powinny mówić wprost:

  • nigdy nie wpisuj „kodu autoryzacji” z maila na stronie logowania, jeśli sam nie inicjowałeś procesu parowania urządzenia,
  • każda prośba „wpisz kod, żeby odebrać dokument/voicemail/płatność” = sygnał alarmowy,
  • zgłaszaj takie maile jako incydent (playbook SOC/IT).

Różnice / porównania z innymi przypadkami

  • Klasyczny credential phishing: kradnie hasło (czasem też kod MFA), zwykle przez fałszywą stronę.
  • AiTM (Adversary-in-the-Middle): przechwytuje sesję „w locie” i może kraść cookies/tokeny przez pośredniczący serwer.
  • Device code phishing: ofiara loguje się na prawdziwej stronie, ale finalnie autoryzuje nie tę sesję, co trzeba; atak bazuje na legalnym mechanizmie urządzeń i tokenów OAuth, co bywa trudniejsze do zauważenia „na oko”.

Podsumowanie / kluczowe wnioski

Ta kampania przypomina, że „MFA włączone” nie oznacza automatycznie „bezpiecznie”. Device code phishing przesuwa ciężar ataku z kradzieży haseł na kradzież i nadużycie tokenów OAuth, często przy udziale samego użytkownika, który wykonuje poprawne logowanie na legalnej stronie. Kluczowe działania obronne to: ograniczenie device code flow tam, gdzie nie jest potrzebny, wzmocnienie warunków dostępu (urządzenia zgodne/zarządzane), monitoring anomalii tokenów i autoryzacji oraz szkolenia skoncentrowane na tym konkretnym scenariuszu.


Źródła / bibliografia

  1. CSO Online – opis kampanii i przynęt, kontekst KnowBe4. (CSO Online)
  2. KnowBe4 Threat Labs – szczegóły techniczne, microsoft.com/devicelogin, kradzież tokenów access/refresh. (KnowBe4 Blog)
  3. Proofpoint – szerszy trend, łańcuch ataku z URL/QR i device code, automatyzacja. (Proofpoint)
  4. Microsoft Security Blog (Storm-2372) – mechanika device code phishing i wpływ na tokeny oraz działania po kompromitacji. (Microsoft)
  5. Microsoft Security Blog (Teams) – uwagi o persystencji i atrakcyjności tego wektora przez ważność tokenów. (Microsoft)

Ransomware u japońskiego giganta testów półprzewodników: co wiemy o incydencie w Advantest i jak ograniczyć ryzyko

Wprowadzenie do problemu / definicja luki

Atak ransomware to zwykle kombinacja nieautoryzowanego dostępu + uruchomienia mechanizmu szyfrowania (często wraz z presją szantażową). W praktyce, nawet gdy ofiara nie potwierdza kradzieży danych, ryzyko obejmuje: przestój operacyjny, utratę integralności środowiska IT/OT oraz konsekwencje łańcuchowe w dostawach.

W połowie lutego 2026 taki scenariusz dotknął Advantest – jednego z kluczowych dostawców automatycznych systemów testujących (ATE) dla branży półprzewodników.


W skrócie

  • Kto: Advantest Corporation (Japonia), dostawca sprzętu do testów półprzewodników.
  • Kiedy wykryto: 15 lutego 2026 (JST) – wykrycie nietypowej aktywności, izolacja części systemów, uruchomienie IR.
  • Co wiadomo: wstępne ustalenia wskazują na dostęp osoby trzeciej do fragmentów sieci i wdrożenie ransomware; śledztwo trwa.
  • Kwestia danych: spółka bada, czy naruszono dane klientów/pracowników i deklaruje powiadomienia, jeśli to się potwierdzi.
  • Sprawcy: na moment publikacji brak publicznego przypisania do konkretnej grupy.

Kontekst / historia / powiązania

Advantest jest istotnym elementem „kręgosłupa” produkcji chipów: testowanie (wafer sort / final test) to etap krytyczny dla jakości i wydajności. Dlatego incydenty u dostawców narzędzi i infrastruktury okołoprodukcyjnej mają potencjał wpływu wykraczającego poza jedną organizację.

Warto też zauważyć, że Japonia opublikowała w 2025 r. wytyczne bezpieczeństwa OT dla fabryk półprzewodników, akcentując rosnące zagrożenie cyberatakami na środowiska przemysłowe, ryzyko przestojów oraz ochronę własności intelektualnej w złożonym łańcuchu dostaw.


Analiza techniczna / szczegóły luki

Z dostępnych komunikatów wynika, że:

  • wykryto nieautoryzowany dostęp do części środowiska IT,
  • wdrożono ransomware,
  • uruchomiono procedury: izolacja dotkniętych systemów i współpraca z zewnętrznymi ekspertami.

Czego nie ujawniono (typowe w fazie „early IR”, ale kluczowe dla oceny ryzyka):

  • wektora wejścia (phishing? podatność na brzegu? kompromitacja konta? dostawca?),
  • zakresu lateral movement,
  • informacji o ekstrakcji danych (double extortion),
  • tego, czy incydent dotknął elementów OT/środowisk powiązanych z produkcją (jeśli takie są w zasięgu organizacji).

Z perspektywy obrony trzeba zakładać „standardowy” łańcuch ataku ransomware: Initial Access → eskalacja uprawnień → rozpoznanie → ruch boczny → wyłączenie zabezpieczeń/kasowanie kopii → szyfrowanie (i często eksfiltracja).


Praktyczne konsekwencje / ryzyko

Dla firm z ekosystemu półprzewodników (w tym dostawców ATE) najważniejsze ryzyka to:

  1. Przestoje i degradacja SLA – nawet częściowa niedostępność systemów IT wpływa na planowanie, logistykę, serwis, realizację zamówień i wsparcie klientów.
  2. Ryzyko wycieku danych – w tym danych pracowników/klientów oraz potencjalnie informacji wrażliwych operacyjnie.
  3. Ryzyko łańcucha dostaw – incydent u dostawcy krytycznych narzędzi może „rozlać się” na wiele organizacji jednocześnie (opóźnienia, problemy z serwisem, zmiany harmonogramów produkcyjnych).

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś w branży produkcyjnej/semiconductor albo masz środowisko IT+OT, potraktuj ten incydent jako checklistę „na dziś”:

A. Szybkie działania (24–72h)

  • Zweryfikuj dostęp zdalny: VPN/RDP, bramy serwisowe, dostępy dostawców; wymuś reset haseł i MFA dla kont uprzywilejowanych.
  • Sprawdź integralność kopii zapasowych (offline/immutable) i przećwicz odtworzenie „na sucho”.
  • Uruchom polowanie na IoC/TTP: nietypowe logowania, nowe konta, wyłączanie EDR, masowe operacje na udziałach plikowych.

B. Wzmocnienie architektury (1–4 tyg.)

  • Segmentacja i mikrosegmentacja (zwłaszcza granica IT/OT) + zasada „deny by default” dla komunikacji między strefami.
  • Minimalizacja uprawnień (PAM), oddzielenie kont admin/operacyjnych, twarde logowanie i monitoring działań uprzywilejowanych.
  • Uporządkowany model „vendor access”: konta imienne, JIT/JEA, nagrywanie sesji, pełne logowanie, ograniczone okna serwisowe.

C. Długofalowo

  • Zbuduj program odporności OT zgodny z podejściem opisywanym w wytycznych dla fabryk półprzewodników: nacisk na ciągłość produkcji, ochronę IP i jakość oraz spójność z BCP.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten przypadek wpisuje się w szerszy trend: ransomware coraz częściej celuje w organizacje, gdzie presja czasu i koszt przestoju zwiększają szanse wymuszenia. W sektorze półprzewodników dodatkowo dochodzi element wrażliwości łańcucha dostaw – nawet jeśli atak dotyka „tylko IT”, skutki biznesowe mogą być bardzo realne.


Podsumowanie / kluczowe wnioski

  • Advantest potwierdził incydent ransomware po wykryciu nieautoryzowanej aktywności 15 lutego 2026 i izolacji dotkniętych systemów.
  • Na dziś brak publicznych informacji o sprawcach i o tym, czy doszło do eksfiltracji danych – ale firma bada wpływ i deklaruje powiadomienia.
  • Dla branży półprzewodników to kolejny sygnał, że odporność na ransomware musi obejmować tożsamość, segmentację IT/OT, kontrolę dostępu dostawców i kopie niezmienialne.

Źródła / bibliografia

  1. The Record (Recorded Future News) – opis incydentu i kontekst branżowy. (The Record from Recorded Future)
  2. Advantest – oficjalny komunikat „Advantest Responds to Cybersecurity Incident” (19.02.2026). (株式会社アドバンテスト)
  3. SecurityWeek – omówienie incydentu i statusu ustaleń dot. danych/sprawców. (SecurityWeek)
  4. Nippon.com (Jiji Press) – potwierdzenie nielegalnego dostępu do części systemów i trwającego dochodzenia. (Nippon)
  5. METI (Japonia) – „OT Security Guidelines for Semiconductor Device Factories”, ver. 1.0 (24.10.2025).

Francuski rząd: wyciek z rejestru FICOBA naraził dane 1,2 mln rachunków bankowych

Wprowadzenie do problemu / definicja luki

Francuskie Ministerstwo Gospodarki i Finansów poinformowało o nieuprawnionym dostępie do części krajowego rejestru rachunków bankowych FICOBA (Fichier national des comptes bancaires). To nie jest „wyciek z banku” w rozumieniu dostępu do środków, tylko kompromitacja centralnej bazy referencyjnej, która zawiera metadane o rachunkach i ich posiadaczach. Skala incydentu (1,2 mln rachunków) sprawia jednak, że ryzyko nadużyć socjotechnicznych i oszustw ukierunkowanych rośnie skokowo.


W skrócie

  • Kiedy: aktywność miała rozpocząć się pod koniec stycznia 2026; incydent został wykryty i publicznie opisany w komunikacie z 18 lutego 2026.
  • Skala: ok. 1,2 mln rachunków mogło zostać „skonsultowanych i wyekstrahowanych” (wg komunikatu).
  • Jakie dane: m.in. RIB/IBAN, tożsamość posiadacza, adres oraz w niektórych przypadkach identyfikator podatkowy.
  • Wektor: przejęte poświadczenia urzędnika posiadającego dostęp w ramach wymiany międzyresortowej.
  • Co atakujący mógł / nie mógł: według władz to nie dawało możliwości wykonywania operacji bankowych ani wglądu w saldo/operacje – ale dane są wystarczające do wiarygodnych podszyć i wyłudzeń.
  • Działania: ograniczono dostęp, zgłoszono incydent do CNIL, zapowiedziano powiadomienia osób oraz złożono zawiadomienie/wniesiono skargę.

Kontekst / historia / powiązania

FICOBA to rejestr, który kataloguje rachunki otwierane w instytucjach bankowych we Francji i jest wykorzystywany m.in. do celów administracyjnych (podatki, zwalczanie nadużyć, działania egzekucyjne). Nie przechowuje „dostępu do pieniędzy”, ale łączy dane identyfikacyjne z numerami rachunków, co czyni go idealnym źródłem do ataków ukierunkowanych (BEC/impersonation, vishing, spear-phishing).

Warto też zauważyć, że duże, scentralizowane rejestry administracyjne są postrzegane jako „high-value targets” – im większa koncentracja danych, tym większy efekt pojedynczej kompromitacji konta lub procesu.


Analiza techniczna / szczegóły luki

Z perspektywy bezpieczeństwa incydent wygląda jak klasyczny scenariusz Identity-First / credential compromise:

  1. Pozyskanie poświadczeń (hasło/token) urzędnika z uprawnieniami do FICOBA w ramach wymiany międzyresortowej. Źródło kradzieży nie zostało publicznie doprecyzowane (phishing, malware, reuse hasła, wyciek z innego systemu itp.).
  2. Dostęp i enumeracja danych – „konsultacja części pliku” i potencjalna ekstrakcja rekordów.
  3. Detekcja i ograniczenie dostępu – wdrożenie restrykcji, prace nad przywróceniem usługi „w najlepszych warunkach ochrony”.

Najważniejszy wniosek techniczny: jeżeli pojedyncza tożsamość użytkownika może odpytać/wyeksportować duże wolumeny danych, to organizacja ma problem z:

  • zasadą najmniejszych uprawnień (least privilege),
  • segmentacją i limitami zapytań/eksportu,
  • monitorowaniem anomalii (nietypowe wolumeny, godziny, wzorce zapytań),
  • oraz często z MFA / phishing-resistant MFA dla kont uprzywilejowanych (to hipoteza – komunikat o MFA nie mówi wprost, ale wektor „skradzione poświadczenia” jest typowy).

Praktyczne konsekwencje / ryzyko

Choć IBAN/RIB sam w sobie zwykle nie wystarcza do wykonania przelewu, to w połączeniu z imieniem, nazwiskiem i adresem umożliwia bardzo skuteczne nadużycia:

  • Spear-phishing i vishing („fałszywy doradca bankowy” / „urzędnik skarbówki”) – dane z rejestru podnoszą wiarygodność ataku. Francuska administracja już ostrzega przed falą oszustw SMS/e-mail.
  • Nadużycia poleceń zapłaty (SEPA Direct Debit) – część źródeł podkreśla, że wyłudzenia mogą iść w kierunku prób uruchomienia obciążeń rachunku, jeśli przestępcy potrafią obejść wymogi formalne/mandaty SDD lub podszyć się pod wierzyciela w łańcuchu.
  • Kradzież tożsamości i oszustwa „na dane” – identyfikator podatkowy (jeśli dotyczy) zwiększa ryzyko nadużyć administracyjnych.

Rekomendacje operacyjne / co zrobić teraz

Dla osób, których dane mogły wyciec

  1. Włącz alerty bankowe (SMS/push) dla transakcji i poleceń zapłaty, jeśli bank oferuje.
  2. Regularnie przeglądaj obciążenia i polecenia zapłaty; kwestionuj podejrzane pozycje możliwie szybko (procedury zależą od banku i lokalnych przepisów).
  3. Traktuj jako podejrzane telefony/SMS/e-maile powołujące się na urząd skarbowy/bank i proszące o kody, login, potwierdzenia. Administracja francuska wprost wskazuje, że nie prosi o identyfikatory i dane karty przez wiadomości.
  4. Zabezpiecz dowody (wiadomości, numery, domeny, zrzuty ekranu) i zgłaszaj incydenty odpowiednim kanałom.

Dla banków i dostawców płatności

  • Podniesienie monitoringu pod kątem nietypowych dyspozycji SDD, wzrostu odrzuceń/chargebacków oraz kampanii podszywających się pod bank. (Źródła wskazują, że banki zostały powiadomione, by ostrzegać klientów).

Dla administracji / operatorów rejestrów

  • Phishing-resistant MFA dla kont z dostępem do wrażliwych rejestrów + twarde polityki urządzeń (managed endpoints).
  • PAM / JIT access (czasowe nadawanie uprawnień), limity eksportu, „break-glass” z pełnym audytem.
  • UEBA / detekcja anomalii: wolumeny zapytań, nietypowe korelacje, geolokalizacja, godziny pracy, fingerprint urządzenia.
  • DLP i watermarking danych oraz mechanizmy „canary records” do wczesnej detekcji eksfiltracji.

Różnice / porównania z innymi przypadkami

Ten incydent dobrze ilustruje różnicę między:

  • wyciekiem z systemu bankowego (gdzie konsekwencją mogą być bezpośrednie straty finansowe),
    a
  • wyciekiem rejestru referencyjnego (gdzie dominującym ryzykiem są: ukierunkowany phishing, podszycia, oszustwa na polecenia zapłaty, kradzież tożsamości).

W praktyce to drugi typ często generuje więcej incydentów wtórnych, bo dane są „uniwersalne” i pasują do wielu scenariuszy socjotechniki.


Podsumowanie / kluczowe wnioski

  • 1,2 mln rachunków mogło zostać objętych nieuprawnionym dostępem do rejestru FICOBA pod koniec stycznia 2026 r.
  • Atak miał charakter identity-based: użyto skradzionych poświadczeń urzędnika.
  • Dane (IBAN + dane osobowe) są szczególnie groźne jako „amunicja” do phishingu/vishingu i potencjalnych prób nadużyć poleceń zapłaty.
  • Największą lekcją dla organizacji jest konieczność połączenia: MFA odpornego na phishing, least privilege, monitoringu anomalii i kontroli masowego dostępu/eksportu.

Źródła / bibliografia

  1. Komunikat prasowy Ministerstwa Finansów (Bercy): „Accès illégitimes au fichier national des comptes bancaires (FICOBA)” (18.02.2026). (Presse – Ministère des Finances)
  2. SecurityWeek: „French Government Says 1.2 Million Bank Accounts Exposed in Breach” (19.02.2026). (SecurityWeek)
  3. The Record (Recorded Future News): „Attackers breach France’s national bank account database” (19.02.2026). (The Record from Recorded Future)
  4. Help Net Security: „Data on 1.2 million French bank accounts accessed in registry breach” (19.02.2026). (Help Net Security)

Beyond Tax Returns: fałszywe aplikacje Coretax i infrastruktura MaaS GoldFactory skalują nadużycia marek w Indonezji

Wprowadzenie do problemu / definicja luki

W Indonezji sezon rozliczeń podatkowych stał się pretekstem do szeroko zakrojonej kampanii podszywania się pod oficjalną platformę Coretax. Klucz nie leży jednak wyłącznie w „fałszywej aplikacji podatkowej”, ale w uprzemysłowionej infrastrukturze Malware-as-a-Service (MaaS), która pozwala przestępcom szybko przerzucać te same klocki (phishing, dystrybucja APK, socjotechnika, moduły malware) na kolejne marki i sektory.

Group-IB opisuje, że kampania wystartowała w lipcu 2025, a mocno eskalowała w styczniu 2026 (zgranie z pikiem rozliczeń), wykorzystując łańcuch ataku łączący fałszywe strony, WhatsApp, sideloading złośliwych APK oraz elementy vishingu w celu doprowadzenia do przejęcia urządzenia i finalizacji nieautoryzowanych transferów.


W skrócie

  • Atakujący podszywają się pod Coretax i nakłaniają do instalacji fałszywych APK spoza sklepu.
  • Operacja jest wiązana głównie z klastrem GoldFactory i wieloma rodzinami malware (m.in. Gigabud.RAT, MMRat).
  • Nadużyto ponad 16 zaufanych marek (sektor publiczny + finanse), co umożliwiło „poziome” skalowanie kampanii.
  • Szacowany wpływ finansowy w Indonezji: ok. 1,5–2 mln USD (agregatowo, na poziomie kraju).
  • GoldFactory jest szerzej znany z mobilnych kampanii bankowych w regionie APAC i powiązań z rodziną Gigabud.

Kontekst / historia / powiązania

GoldFactory to grupa nastawiona na zysk, kojarzona z rozwijaniem i operacjonalizacją mobilnego malware bankowego w Azji i Pacyfiku. W publicznych opracowaniach podkreśla się ich dojrzałość operacyjną, intensywne użycie socjotechniki (smishing/phishing) oraz powiązania z ekosystemem Gigabud.

Wątek „brand abuse + dystrybucja z trojanizowanych kanałów” przewija się też w wcześniejszych kampaniach opisywanych przez media branżowe: atakujący potrafią modyfikować legalne aplikacje (np. bankowe), dołączać komponenty zdalnego dostępu/backdoory i rozprowadzać je przez strony podszywające się pod instytucje lub usługi publiczne.


Analiza techniczna / szczegóły luki

1) Łańcuch infekcji (Coretax → WhatsApp → APK → przejęcie urządzenia)

Z perspektywy TTP (technik i procedur), kampania opiera się o klasyczny, ale bardzo skuteczny schemat:

  • Impersonacja (fałszywa domena/landing page podobna do Coretax),
  • Socjotechnika w kanałach zaufania (WhatsApp) i/lub vishing,
  • Sideloading APK (ominięcie kontroli sklepu),
  • Nadanie uprawnień pozwalających na przejęcie sesji i inicjowanie operacji.

2) Uprawnienia i zachowania wysokiego ryzyka

Group-IB zwraca uwagę na elementy typowe dla przejmowania urządzeń w mobilnych fraudach: żądania dostępu do SMS oraz Accessibility Services (często wykorzystywane do automatyzacji kliknięć, przechwytywania treści i sterowania ekranem).

W warstwie behawioralnej sygnałami alarmowymi są m.in. podejrzane funkcje typu screen recording, overlay injection czy zachowania wskazujące na remote access.

3) „Współdzielona infrastruktura” jako mnożnik skali

Najciekawszy aspekt tej operacji to nie pojedynczy dropper, ale modułowość i reużywalność infrastruktury: te same wzorce hostingu, szablony stron, komponenty dystrybucji i (prawdopodobnie) playbooki socjotechniczne są przenoszone pomiędzy wieloma brandami. Skutek: kampania nie „uderza w jedną instytucję”, tylko w cały ekosystem usług cyfrowych.


Praktyczne konsekwencje / ryzyko

  1. Ryzyko finansowe (ATO/ATO-like + fraud): przejęcie urządzenia i kanałów autoryzacji (SMS/OTP, dostępność) zwiększa szanse na skuteczne przelewy i przejęcia kont.
  2. Ryzyko reputacyjne dla marek: masowe podszywanie się pod instytucje publiczne i firmy finansowe rozmywa zaufanie do oficjalnych kanałów.
  3. Ryzyko operacyjne dla banków i fintechów: nawet przy niskim „conversion rate” na pojedynczym etapie, industrializacja i skala dystrybucji robią różnicę (większa liczba prób = większa liczba incydentów).
  4. Ryzyko „eksportu” TTP: media branżowe już wcześniej opisywały, że taktyki GoldFactory sprawdzają się w wielu krajach APAC, co sprzyja replikacji modelu na inne regiony.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji (banki, instytucje publiczne, operatorzy usług)

  • Brand protection & takedown: ciągłe polowanie na domeny typosquatting, klony landing page, kampanie w komunikatorach; szybka ścieżka zgłoszeń i blokad. (To kluczowe, bo kampania skaluje się „horyzontalnie” na wiele marek.)
  • Telemetria fraudowa na urządzeniu: korelacja sygnałów typu nadużycie Accessibility, overlay, podejrzane nagrywanie ekranu, nietypowe sekwencje kliknięć i czas reakcji (behavioral).
  • Twarde polityki MDM/EMM (dla flot): blokada sideloadingu, allowlista aplikacji, kontrola źródeł instalacji, audyt uprawnień.
  • Detekcje na warstwie sieciowej: blokady znanych wzorców hostingu/C2, reputacja URL, sandboxing linków z kampanii podszywania.
  • Komunikacja kryzysowa: jasny komunikat „instalujemy tylko ze sklepu X”, podpisy/certyfikaty aplikacji, lista oficjalnych domen, szybkie ostrzeżenia w kanałach, które przestępcy nadużywają.

Dla użytkowników (praktycznie)

  • Nie instaluj aplikacji „podatkowych” z linków w wiadomościach/WhatsApp — tylko oficjalny sklep i weryfikacja wydawcy.
  • Jeśli aplikacja żąda Accessibility i dostępu do SMS bez wyraźnego powodu — traktuj to jako czerwone światło.
  • Gdy pojawia się presja czasu/telefon „z urzędu” (vishing) + link do APK — przerwij rozmowę i zweryfikuj kanałem oficjalnym.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Co jest „nowe” lub istotnie inne w tym case’ie w porównaniu do klasycznego phishingu mobilnego:

  • Skalowanie przez reużywalną infrastrukturę MaaS: zamiast jednorazowej kampanii pod jedną usługę, mamy „fabrykę” podszyć, którą można szybko przełączać na kolejne marki.
  • Fuzja fraud + malware: phishing nie kończy się na wyłudzeniu danych, tylko prowadzi do pełniejszego przejęcia urządzenia i możliwości wykonania operacji (przelewy, przechwytywanie kodów, automatyzacja).
  • Spójność TTP z wcześniejszymi kampaniami GoldFactory: podszywanie pod instytucje/usługi + dystrybucja zmodyfikowanych aplikacji to wzorzec opisywany już w 2025 r.

Podsumowanie / kluczowe wnioski

Kampania fałszywych aplikacji Coretax w Indonezji to przykład, jak cyberprzestępczość mobilna dojrzewa do modelu „platformowego”: ten sam kręgosłup infrastruktury i socjotechniki może napędzać wiele równoległych podszyć i wiele rodzin malware. Dla obrońców oznacza to konieczność myślenia nie tylko „jak zablokować jedną aplikację”, ale jak rozbroić pipeline: dystrybucję, domeny, schematy uprawnień i detekcję zachowań przejętego urządzenia.


Źródła / bibliografia

  1. Group-IB – Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia (19 lutego 2026). (Group-IB)
  2. Malpedia (Fraunhofer FKIE) – profil aktora GoldFactory. (Malpedia)
  3. The Hacker News – omówienie kampanii GoldFactory i podszyć usług publicznych (4 grudnia 2025). (The Hacker News)
  4. TechRadar Pro – opis trojanizowania aplikacji bankowych i rodzin hooking malware (5 grudnia 2025). (TechRadar)