Archiwa: Phishing - Strona 90 z 97 - Security Bez Tabu

Tag: Phishing

Fałszywe „wnioski pośmiertne” w LastPass: kampania CryptoChameleon wyłudza hasła główne i celuje także w passkeys

Wprowadzenie do problemu / definicja luki

LastPass ostrzega przed trwającą od połowy października kampanią socjotechniczną podszywającą się pod mechanizm „dziedziczenia” (legacy/emergency access). Ofiary dostają e-maile sugerujące, że członek rodziny wnioskował o dostęp do sejfu po rzekłej śmierci właściciela, a w treści znajduje się „link do anulowania wniosku”. Kliknięcie prowadzi na fałszywą stronę „lastpassrecovery[.]com”, gdzie napastnicy wyłudzają hasło główne; w części przypadków atak jest wzmacniany telefonem od „pracownika LastPass” (tzw. hybrid phishing/call-back). Źródła i artefakty przypisują kampanię do grupy CryptoChameleon (UNC5356), wcześniej znanej z wyłudzeń na użytkownikach giełd krypto oraz z klonów stron logowania Okta/Gmail/iCloud/Outlook.

W skrócie

  • TTPs: e-mail z tematem “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” → call-to-action „Cancel request” → phishing na lastpassrecovery[.]com → kradzież hasła głównego; dodatkowo fałszywe telefony kierujące ofiarę na stronę phishingową; domeny pod passkeys (np. mypasskey[.]info, passkeysetup[.]com).
  • Atrybucja: infrastruktura i domeny powiązane z CryptoChameleon/UNC5356 (powiązania z kampaniami krypto-phishing).
  • Skala/zasięg: kampania aktywna od połowy października 2025 r.; część infrastruktury wygaszona, ale pojawiają się kolejne klony.
  • Ryzyko: kompromitacja sejfu haseł i/lub kradzież środków krypto, przejęcia kont, eskalacja na środowiska firmowe (SSO, poczta, CI/CD). Kontekst historyczny podnosi wagę ataku.

Kontekst / historia / powiązania

W 2022 r. LastPass ujawnił kradzież zaszyfrowanych kopii sejfów oraz danych niezaszyfrowanych (m.in. URL-e), co w kolejnych miesiącach korelowało z seriami kradzieży krypto u wybranych ofiar. W 2025 r. amerykańskie organy ścigania w dokumentach sądowych łączyły część dużych kradzieży (ok. 150 mln USD) z kompromitacjami związanymi z LastPass z 2022 r.

Dodatkowo 15 października 2025 r. raportowano inną kampanię phishingową celującą w użytkowników LastPass i Bitwarden, która wmawiała „włamanie” i skłaniała do instalacji „bezpieczniejszej wersji desktopowej” — w praktyce prowadziła do przejęcia stacji roboczej. To pokazuje ciągłe zainteresowanie ekosystemem managerów haseł przez cyberprzestępców.

Analiza techniczna / szczegóły luki

Wektor socjotechniczny:

  • Narracja „pośmiertna”: e-mail informuje o uruchomieniu procedury dziedziczenia (upload „aktu zgonu”) i zawiera fikcyjny numer agenta/case ID oraz priorytet sprawy — elementy, które podnoszą wiarygodność i presję czasu.
  • Phishing URL: przycisk „Cancel request” kieruje do lastpassrecovery[.]com (wskaźniki z przypisaniem do CryptoChameleon; hostowanie m.in. w NICENIC). Lista IOCs obejmuje także dziesiątki domen podszywających się pod Coinbase/Binance/Gemini/Gmail.
  • Call-back (voice social engineering): napastnicy dzwonią jako „LastPass Support” i nakłaniają do wpisania hasła głównego na stronie phishingowej.
  • Celowanie w passkeys: obecność wielu wariantów domen typu mypasskey[.]info i passkeysetup[.]com wskazuje na rozszerzenie ataku na FIDO2/WebAuthn (kradzież/eskalacja tokenów i sekwencji rejestracji).

Mechanizm „dziedziczenia” w LastPass (legalny): właściciel sejfu może zdefiniować kontakt awaryjny; po żądaniu dostępu biegnie okres karencji, po którym dostęp jest nadawany automatycznie, jeśli właściciel nie zareaguje. Atak nawiązuje do tej logiki, by zmuszać ofiarę do „anulowania” i wejścia w lewą stronę.

Praktyczne konsekwencje / ryzyko

  • Użytkownicy indywidualni: ujawnienie hasła głównego = pełne przejęcie sejfu, pivot na mail/SSO/krypto; przy przechowywaniu seedów do portfeli – natychmiastowa kradzież środków. Kontekst z 2022–2025 r. pokazuje, że to nie są ataki hipotetyczne.
  • Firmy: ryzyko kompromitacji kont uprzywilejowanych, łańcuchowe przejęcia usług (MFA reset, IdP, repozytoria), BEC i naruszenia danych.
  • Zespół helpdesku: podatność na „voice phishing” i eskalacje na wewnętrzne procesy wsparcia (np. błędna weryfikacja tożsamości).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (natychmiast):

  1. Nigdy nie wpisuj hasła głównego po kliknięciu w link z e-maila/telefonu. Wchodź wyłącznie przez oficjalną aplikację lub ręcznie wpisany lastpass.com.
  2. Sprawdź w skrzynce temat: Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED). Jeśli go masz — prześlij jako załącznik na abuse@lastpass.com.
  3. Włącz MFA dla LastPass i wszystkich krytycznych kont; rozważ zmianę hasła głównego i rotację haseł do kont wysokiej wartości (banki, krypto, e-mail).
  4. Jeśli używasz passkeys – upewnij się, że nie rejestrowałeś ich poprzez żaden link z e-maila; odrzuć nieoczekiwane prośby o rejestrację/uwierzytelnienie.

Dla SecOps/IT (w organizacji):

  1. Blokuj/monitoruj IOCs z bieżącej kampanii (domena lastpassrecovery[.]com, warianty mypasskey[.]info, podszycia pod giełdy i Gmail) w DNS/web proxy/EDR. Wdróż detekcje „Legacy Request” w treściach maili.
  2. Playbook SOAR: runbook na hybrydowy phishing + call-back (weryfikacja telefoniczna tylko poprzez oddzwonienie na oficjalne numery; żaden pracownik LastPass nie poprosi o hasło główne).
  3. Awareness: mikro-kampania dla pracowników (60-sek. wideo/komunikat) nt. „fałszywego dziedziczenia” i zasad bezpiecznej rejestracji passkeys.
  4. Zarządzanie tajemnicami: rozdziel sejfy prywatne/służbowe, segmentuj tajemnice; wymuś MFA hardware (FIDO2) tam, gdzie możliwe; rozważ detekcje anomalii w menedżerach haseł (próby odzyskiwania, masa-eksport haseł).
  5. Incident response: jeżeli podejrzewasz wpisanie hasła na phishingu – wymuś natychmiastową rotację i sprawdź eksport historii sejfu, logi logowań i ewentualne exfiltration events.

Różnice / porównania z innymi przypadkami

  • Październik 2025 (ten case): nacisk na dziedziczenie + call-back i targetowanie passkeys (nowość względem klasycznego phishingu na hasło główne).
  • 15 października 2025: osobna kampania „fałszywych alertów o włamaniu” wymuszająca instalację „bezpieczniejszej aplikacji” (wektor malware/PC hijack zamiast credential harvesting).
  • Kontekst 2022–2025: długofalowe skutki wycieku sejfów (brute-force offline na słabych hasłach, kradzieże krypto) – obecna kampania wykorzystuje te narracje i dane do skuteczniejszej socjotechniki.

Podsumowanie / kluczowe wnioski

  • To nie jest bug w LastPass, lecz wyrafinowana socjotechnika wykorzystująca realny proces „emergency access”.
  • Kampania CryptoChameleon łączy phishing mailowy, voice phishing i nowe cele (passkeys), co zwiększa skuteczność.
  • Organizacje powinny natychmiast wprowadzić bloki IOC, szkolenia „micro-awareness” i runbooki na call-back phishing; użytkownicy — MFA wszędzie, zerowa tolerancja na linki z e-maili i zgłaszanie podejrzanych wiadomości na abuse@lastpass.com.

Źródła / bibliografia

  • BleepingComputer: „Fake LastPass death claims used to breach password vaults”, 24.10.2025. (BleepingComputer)
  • LastPass (oficjalny blog): „Possible CryptoChameleon Social Engineering Campaign…”, 23.10.2025. (The LastPass Blog)
  • BleepingComputer: „Fake LastPass, Bitwarden breach alerts lead to PC hijacks”, 15.10.2025. (BleepingComputer)
  • KrebsOnSecurity: „Feds Link $150M Cyberheist to 2022 LastPass Hacks”, 07.03.2025. (Krebs on Security)
  • LastPass (komunikat): „Notice of Recent Security Incident”, 22.12.2022. (The LastPass Blog)

Masowe ataki na WordPress: przestępcy wykorzystują stare luki w GutenKit i Hunk Companion

Wprowadzenie do problemu / definicja luki

Od 8–9 października 2025 r. obserwowana jest kampania masowych ataków na strony WordPress, której celem są stare, ale wciąż powszechnie używane wersje wtyczek GutenKit oraz Hunk Companion. Według danych cytowanych przez BleepingComputer, dostawca zabezpieczeń Wordfence zablokował 8,7 mln prób w ciągu dwóch dni. Atakujący łączą podatności pozwalające bez uwierzytelnienia instalować dowolne wtyczki lub wgrywać pliki podszyte pod wtyczki, co eskaluje do zdalnego wykonania kodu (RCE).

W skrócie

  • Na celowniku: GutenKit (≤ 2.1.0 — CVE-2024-9234) i Hunk Companion (≤ 1.8.4 — CVE-2024-9707; ≤ 1.8.5 — CVE-2024-11972). Łatki: GutenKit 2.1.1 (X 2024), Hunk Companion 1.9.0 (XII 2024).
  • Wektor: nieautoryzowane endpointy REST umożliwiające instalację/aktywację wtyczek lub wgrywanie „fałszywych” paczek.
  • Łańcuch ataku: po uzyskaniu dostępu napastnicy doinstalowują złośliwą paczkę „up” albo podatną wtyczkę WP Query Console (brak poprawek, RCE), aby utrzymać trwałą kontrolę.
  • Ślady (IoC): żądania do /wp-json/gutenkit/v1/install-active-plugin, /wp-json/hc/v1/themehunk-import; katalogi: /up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console.

Kontekst / historia / powiązania

Luki w Hunk Companion były już nagłaśniane pod koniec 2024 r. — CVE-2024-11972 jest poprawką/bypassem wcześniejszej CVE-2024-9707; obie ocenione jako CVSS 9.8 (krit.). W praktyce błędy umożliwiają atakującemu instalowanie i aktywowanie dowolnych wtyczek z repozytorium WordPress (także tych wycofanych), co stanowi wygodny „most” do RCE. Równolegle CVE-2024-9234 w GutenKit pozwala uploadować pliki podszyte pod wtyczki i aktywować je bez uprawnień.

Analiza techniczna / szczegóły luki

GutenKit (CVE-2024-9234). Brak właściwej autoryzacji/capability check w funkcji obsługującej install-active-plugin (REST) umożliwia nieautoryzowaną instalację/aktywację wtyczek lub wgranie arbitralnego pliku udającego wtyczkę (do 2.1.0 włącznie).

Hunk Companion (CVE-2024-9707, CVE-2024-11972). Błędy w endpointach themehunk-import (REST) pozwalają na nieautoryzowane POST-y skutkujące instalacją/aktywacją wtyczek. CVE-2024-11972 domyka wcześniejszą łatę i również oceniona jest na CVSS 9.8; wersja naprawcza to 1.9.0.

Eskalacja do RCE. Po pierwszym kroku atakujący:

  • instalują paczkę „up” (ZIP hostowany m.in. na zewnętrznych repozytoriach), zawierającą zaciemnione skrypty do uploadu, pobierania, usuwania plików i zmiany uprawnień; jeden z komponentów maskuje się jako element All in One SEO i automatycznie loguje napastnika jako admina,
  • albo doinstalowują podatną wtyczkę WP Query Console ≤ 1.0 (CVE-2024-50498, brak poprawek) i uzyskują RCE bez uwierzytelnienia.

IoC i TTP. W logach ruchu widoczne są żądania do:
/wp-json/gutenkit/v1/install-active-plugin oraz /wp-json/hc/v1/themehunk-import (sygnatura exploitów). W systemie plików sprawdź katalogi: /up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console.

Praktyczne konsekwencje / ryzyko

  • Przejęcie strony i trwała persystencja (backdoory, automatyczny login na admina).
  • Eksfiltracja danych (pliki, konfiguracje, dane klientów), modyfikacje treści, wstrzykiwanie SEO-spam/malvertising.
  • Pivot na serwer — RCE pozwala wykorzystywać host do dalszych ataków (phishing, botnet, cryptomining).
  • Ryzyka prawne i reputacyjne (RODO, utrata pozycji SEO).
    Źródła branżowe raportują o łączeniu kilku luk w jeden łańcuch, co zwiększa automatyzację i skalę kampanii.

Rekomendacje operacyjne / co zrobić teraz

1) Patching i audyt wersji

  • Natychmiast zaktualizuj:
    • GutenKit → ≥ 2.1.1,
    • Hunk Companion → ≥ 1.9.0.
  • Jeśli wtyczki są zbędne — usuń je całkowicie (dezaktywacja to za mało).

2) Detekcja nadużyć (logi i pliki)

  • Przeskanuj logi HTTP pod kątem:
    • "/wp-json/gutenkit/v1/install-active-plugin"
    • "/wp-json/hc/v1/themehunk-import"
  • Przeszukaj system plików:
    • katalogi: /up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console.

Przykładowe polecenia (Linux):

# Szukaj podejrzanych żądań w access.log (Nginx/Apache)
grep -E 'wp-json/(gutenkit|hc)/v1/(install-active-plugin|themehunk-import)' /var/log/*/access.log*

# Wykryj "podejrzane" katalogi w instalacji WP
cd /var/www/html
find . -maxdepth 3 -type d -regex ".*/\(up\|background-image-cropper\|ultra-seo-processor-wp\|oke\|wp-query-console\)"

3) Ograniczenia i WAF

  • Tymczasowo blokuj/limituj dostęp do ww. endpointów REST (np. reguła WAF/ModSecurity) do czasu aktualizacji.
  • Stosuj Rate Limiting i blokowanie IP/ASN powiązanych z falą skanów (dane z bieżących raportów bezpieczeństwa).

4) Hardening WordPress

  • Włącz auto-update dla wtyczek i rdzenia.
  • Ogranicz liczbę adminów, wymuś MFA i klucze aplikacji dla integracji.
  • Utrzymuj kopie zapasowe offline i testuj odtwarzanie.

5) Incydent response (jeśli są ślady kompromitacji)

  1. Odizoluj witrynę (maintenance/firewall).
  2. Zrzut i analiza artefaktów: nowe konta admin, cron, wp-content/uploads, mu-plugins, wp-config.php.
  3. Usuń backdoory, zaktualizuj do bezpiecznych wersji, zresetuj hasła i klucze salts.
  4. Rozważ przywrócenie z kopii sprzed incydentu i pełny przegląd wtyczek (usuń porzucone).

Różnice / porównania z innymi przypadkami

  • Klasyczne RCE w wtyczce (np. WP Query Console) zwykle wymaga pojedynczej luki; tutaj napastnicy najpierw wymuszają instalację podatnej wtyczki przez inny błąd (REST), co zwiększa skuteczność automatycznych kampanii.
  • Specyfika WordPress.org: możliwość sięgnięcia po stare, wycofane paczki w repozytorium, co ułatwia „dowiezienie” RCE po uzyskaniu dostępu do endpointu instalacji.

Podsumowanie / kluczowe wnioski

  • Trwają zautomatyzowane, masowe ataki na WordPress z użyciem starych błędów w GutenKit i Hunk Companion, z potwierdzonymi milionami prób w krótkim czasie. Priorytetem jest aktualizacja lub deinstalacja podatnych wtyczek, przegląd logów pod kątem specyficznych endpointów REST oraz poszukiwanie charakterystycznych katalogów/pliki IoC. Dla zespołów SecOps to sygnał do tworzenia reguł WAF/IDS oraz blokad na poziomie infrastruktury.

Źródła / bibliografia

  1. BleepingComputer — „Hackers launch mass attacks exploiting outdated WordPress plugins”, 24 października 2025. (BleepingComputer)
  2. NVD — CVE-2024-9234 (GutenKit): opis błędu i wektor ataku. (NVD)
  3. NVD — CVE-2024-11972 (Hunk Companion): brak autoryzacji endpointów, wersja naprawcza. (NVD)
  4. WPScan — WP Query Console ≤ 1.0 — Unauthenticated RCE (CVE-2024-50498) — brak poprawek. (WPScan)
  5. SecurityWeek — łączenie luk Hunk Companion + WP Query Console do przejęcia stron (grudzień 2024). (SecurityWeek)

3 000 filmów na YouTube jako pułapki malware. „YouTube Ghost Network” rozbite — co to było i jak się bronić

Wprowadzenie do problemu / definicja luki

Check Point Research ujawnił skoordynowaną operację dystrybucji złośliwego oprogramowania na YouTube, nazwaną YouTube Ghost Network. Sieć wykorzystywała przejęte lub fałszywe konta, by publikować filmy-tutoriale (cracki, „haki” do gier), które prowadziły do pobrania stealerów informacji. Zidentyfikowano ponad 3 000 złośliwych filmów, z których wiele miało setki tysięcy wyświetleń. Po zgłoszeniach badaczy Google usunął większość treści. Źródło przypisuje aktywność co najmniej od 2021 r., a w 2025 r. liczba filmów potroiła się.

W skrócie

  • Skala: >3 000 filmów na przejętych kanałach; rekordowe pojedyncze wideo ~293 tys. wyświetleń (Photoshop), inne ~147 tys. (FL Studio).
  • Wektor socjotechniczny: „darmowe” cracki i cheaty (m.in. Roblox, Adobe, FL Studio), komentarze i lajki budujące fałszywą wiarygodność.
  • Rodziny malware: głównie infostealery – Lumma (przed jej wiosennym rozbiciem), później Rhadamanthys, a także RedLine, StealC, Phemedrone/0debug; bywał łańcuch z HijackLoaderem.
  • Łańcuch infekcji: linki w opisie, przypiętych komentarzach lub „instrukcji wideo” → skracacze URL → Google Sites/Blogger/Telegra.ph lub dyski Dropbox/Google Drive/MediaFirearchiwum z hasłem + prośba o wyłączenie Defendera → payload.
  • Reakcja branży: Check Point + Google usunęli większość treści; media branżowe potwierdziły skalę i modus operandi.

Kontekst / historia / powiązania

  • Lumma Stealer był „hitem” w sieci do czasu międzynarodowej akcji Microsoftu i Europolu (16 marca–16 maja 2025 r.), po której operatorzy kampanii częściej przechodzili na Rhadamanthys.
  • Zjawisko „Ghost Network” wcześniej opisywano na GitHubie (kampania Stargazers Ghost Network), gdzie masowo podszywano się pod wiarygodne repozytoria do dystrybucji złośliwych plików. YouTube to kolejna odsłona tej samej taktyki „platform-as-distribution”.

Analiza techniczna / szczegóły luki

Architektura ról (operacja na YouTube):

  1. Video-accounts – publikują filmy-wabiki i udostępniają linki (w opisie, przypiętym komentarzu lub jako „hasło+link” w samym wideo).
  2. Post-accounts – publikują posty społeczności z linkami i hasłami do archiwów; aktualizują wpisy, by omijać zgłoszenia; możliwe użycie AI do interakcji.
  3. Interact-accounts – dodają „lajki” i entuzjastyczne komentarze („works!”, „no virus”), podbijając sygnały zaufania.

Łańcuch dystrybucji i unikanie detekcji:

  • Skracacze URL maskujące destynację.
  • Hosty plików i usługi Google (Sites/Blogspot/Drive) – wysoka reputacja domen utrudnia filtrowanie reputacyjne.
  • Archiwa chronione hasłem (często „1337”) – brak możliwości skanowania zawartości bez hasła.
  • Instrukcje „wyłącz Defendera na chwilę” – celowe osłabienie ochrony podczas instalacji.
  • Pliki o dużych rozmiarach lub MSI instalujące HijackLoadera, który dociąga właściwy stealer (np. Rhadamanthys).

Cele i treści przynęt:

  • Cracki do Adobe Photoshop/Premiere/Lightroom, FL Studio, CorelDRAW, cheaty do gier (np. Roblox).
  • Kierowanie do grup docelowych (twórcy wideo/muzyki, gracze), gdzie popyt na „darmowe” narzędzia jest wysoki.

Praktyczne konsekwencje / ryzyko

  • Utrata danych uwierzytelniających (przeglądarki, menedżery haseł, cookie session tokens), portfele kryptowalut, poczta i konta społecznościowe — typowe dla stealerów.
  • Przejęcia kont korporacyjnych przez wykradzione sesje (SSO, M365, Slack, Git).
  • Wektory wtórne: zainfekowane endpointy stają się punktem wyjścia do BEC, ransomware lub dalszych kradzieży danych. (Wynika z typowych zdolności Lumma/Rhadamanthys i obserwacji Check Point dot. infostealerów w kampanii).

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/IT (organizacje)

  1. Zablokuj ryzykowne kategorie transferów: egzekwuj polityki dla popularnych skracaczy URL i hostingów plików (Dropbox/Drive/MediaFire) w ruchu korporacyjnym — co najmniej kontrola i logowanie + izolacja przeglądarkowa dla niezweryfikowanych pobrań.
  2. Reguły detekcji:
    • Alerty na pobrania archiwów z hasłem z przeglądarki i nietypowe uruchomienia msiexec/exe po pobraniu.
    • Telemetria EDR dla wskaźników typowych dla Rhadamanthys/Lumma (procesy z nietypową komunikacją C2, kradzież danych z przeglądarek). (Uzasadnienie: kampania dostarczała właśnie te stealer-y).
  3. Zasady anty-tampering: wymuś niemożność wyłączenia Defendera/AV przez użytkownika bez uprawnień admina; monitoruj zdarzenia prób wyłączenia ochrony w czasie instalacji.
  4. Twarde uwierzytelnianie: MFA odporne na phishing (FIDO2/Passkeys), krótkie TTL sesji, automatyczne unieważnianie tokenów po incydencie ze stealerem. (Kontekst: masowe kradzieże cookies przez stealery).
  5. Kontrola aplikacji i uprawnień: blokada uruchamiania niepodpisanych MSI/EXE spoza zaufanych katalogów; WDAC/AppLocker; zasada least privilege na endpointach.
  6. DTR/IR playbook dla stealerów: natychmiastowa rotacja haseł/kluczy/API, reset sesji, przegląd logowania z nowych lokacji, przegląd skrzynek i reguł przekierowań.

Dla użytkowników (awareness)

  • Nie instaluj cracków i „hacków do gier” — to w 2025 r. najczęstsza przynęta w tej kampanii.
  • Weryfikuj kanały i linki: jeśli link prowadzi przez skracacz lub na Google Sites/Telegra.ph i wymaga hasła do archiwum – traktuj to jako czerwone flagi.
  • Nie wyłączaj antywirusa „na chwilę” z powodu filmu w sieci.
  • Używaj menedżera haseł + MFA i aktualizuj system.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • GitHub „Stargazers Ghost Network” (2024–2025) i YouTube Ghost Network (2025) to ta sama logika „Ghost accounts as a service” na różnych platformach: manipulacja sygnałami zaufania (gwiazdki/forciowanie repo vs. wyświetlenia/komentarze), treści przynęt (narzędzia/dev-tool vs. cracki/cheaty), lecz cel identyczny — masowa dystrybucja infostealerów przy użyciu „dobrych” domen i funkcji społecznościowych.

Podsumowanie / kluczowe wnioski

  • Kampania YouTube Ghost Network pokazała, jak łatwo zbrodnicze grupy weaponizują platformy społecznościowe — od SEO i komentarzy po posty społeczności — by sprzedawać wiarygodność i dostarczać malware na masową skalę.
  • Cracki i cheaty pozostają najbardziej ryzykownym typem treści dla użytkowników; to na nich żerują operatorzy stealerów.
  • Higiena tożsamości, polityki pobrań i kontrola aplikacji są dziś równie ważne, co sygnaturowe AV.
  • Po rozbiciu Lumma napastnicy przechodzą na alternatywy (Rhadamanthys), co wymaga ciągłej adaptacji detekcji.

Źródła / bibliografia

  • Check Point Research: Dissecting YouTube’s Malware Distribution Network (23 października 2025). (Check Point Research)
  • The Hacker News: 3,000 YouTube Videos Exposed as Malware Traps… (24 października 2025). (The Hacker News)
  • The Register: Google and Check Point nuke massive YouTube malware… (23 października 2025). (The Register)
  • Help Net Security: Researchers expose large-scale YouTube malware distribution network (23 października 2025). (Help Net Security)
  • Europol: Europol and Microsoft disrupt world’s largest infostealer Lumma (21 maja 2025). (Europol)

Hakerzy polują na użytkowników przeglądarki Perplexity Comet: fałszywe domeny, aplikacje i reklamy

Wprowadzenie do problemu / definicja luki

Krótko po premierze przeglądarki Perplexity Comet cyberprzestępcy uruchomili skoordynowaną kampanię podszywania się pod markę: rejestrowali domeny podobne do oficjalnych adresów, publikowali fałszywe aplikacje mobilne i promowali fikcyjne instalatory poprzez reklamy w wyszukiwarkach i mediach społecznościowych. Celem jest skłonienie użytkowników do pobrania nieautoryzowanego oprogramowania lub przeklikania się do stron phishingowych podszywających się pod „pobieranie Comet”. Takie wnioski opublikował zespół BforeAI, a temat opisał SecurityWeek.

W skrócie

  • Czas: Comet wystartował 9 lipca 2025 r.; 2 października 2025 r. został udostępniony bezpłatnie dla wszystkich. Kampania fałszywych domen i aplikacji nasiliła się między sierpniem a październikiem 2025 r.
  • Skala: BforeAI przeanalizowało >40 podejrzanych domen; część z nich to bezpośrednie imitacje marki (np. perplexitycomet-ai.com, cometaibrowser.com).
  • Aplikacje mobilne: wykryto krytyczne fałszywe pozycje w Google Play oraz nieautoryzowaną aplikację w App Store, przed którą publicznie ostrzegł CEO Perplexity.
  • Powiązane ryzyka: wcześniejsze badania wykazały, że AI-przeglądarki (w tym Comet) są podatne na prompt-injection, phishing i scenariusze „agentic”.

Kontekst / historia / powiązania

Perplexity uruchomiło Comet jako AI-native przeglądarkę z asystentem zintegrowanym w przepływ pracy (poczta, kalendarz, research). Początkowo dostęp był ograniczony, później – od 2 października – produkt stał się darmowy dla wszystkich użytkowników, co znacząco zwiększyło rozpoznawalność marki i… atrakcyjność dla oszustów.

Równolegle pojawiły się niezależne badania bezpieczeństwa: Guardio Labs pokazało scenariusz „Scamlexity”, w którym AI-przeglądarka potrafi zautomatyzować błędne działania (np. pomagać dokonać zakupu na fałszywym sklepie), a LayerX opisał technikę CometJacking, gdzie pojedynczy złośliwy URL „przejmuje” agenta i wykrada dane (e-maile, kalendarz, „pamięć” użytkownika).

Analiza techniczna / szczegóły kampanii podszywania się

Wektory ataku zidentyfikowane przez BforeAI:

  1. Typosquatting i brand impersonation — rejestracje po starcie Comet, z użyciem słów kluczowych „comet”, „ai”, „browser”, „perplexity”, „download”. Przykłady: cometai.site, cometaibrowser.com, perplexitycomet-ai.com, cometbrowser.net, aicometbrowser.com. Część domen parkowana (np. cometai.net oferowana za 9 999 $).
  2. SEO-poisoning / malvertising — reklamy w wyszukiwarkach i social media kierujące do „pobierania Comet” z nieoficjalnych stron trzecich; serwowane pseudo-instalatory EXE.
  3. Fałszywe aplikacje mobilne — m.in. „Comet AI Atlas App Info” w Google Play; dodatkowo nieautoryzowana pozycja w iOS App Store, przed którą ostrzegł publicznie CEO Perplexity 14 października 2025 r.

Cechy operacyjne kampanii: wykorzystanie prywatności WHOIS, rejestratorów w różnych jurysdykcjach (w tym REG.RU, Name SRS AB, NameCheap) i szybkich, niedrogich rejestracji TLD (.com, .net, .ai, .site, .app), co utrudnia egzekwowanie i sprzyja rotacji infrastruktur.

Praktyczne konsekwencje / ryzyko

  • Zainfekowanie endpointu przez pobranie nieoficjalnego instalatora (infostealery, adware, RAT) podszywającego się pod „Comet Setup”. (Wniosek na podstawie znanych TTP kampanii malvertising / fake installers).
  • Kradzież danych i sesji: w scenariuszu CometJacking samo odwiedzenie spreparowanego linku może wywołać działania agenta i eksfiltrację treści (e-maile, kalendarz, „memory”).
  • Utrata środków / phishing transakcyjny: „Scamlexity” pokazuje, że agent może „pomóc” dokończyć oszustwo, jeśli UX atakującego zostanie zaprojektowany pod AI.
  • Ryzyko reputacyjne i zgodności dla organizacji dopuszczających niezweryfikowane pobrania i korzystanie z nieoficjalnych aplikacji.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów IT

  1. Pobieraj Comet wyłącznie z oficjalnych kanałów Perplexity (witryna i wpisy na blogu produktu). Zweryfikuj domenę perplexity.ai i podpisy binariów.
  2. Ignoruj reklamy „Download Comet” w Google/Bing oraz „skróty” w social media — zamiast tego wpisz adres ręcznie. (Wniosek na podstawie analizy malvertisingu BforeAI).
  3. Na mobile: do czasu oficjalnej premiery iOS nie instaluj żadnej „Comet” z App Store; zgłaszaj podejrzane pozycje.
  4. Przeglądarka/agent – higiena bezpieczeństwa: wyłącz autowykonywanie wtyczek/akcji, ogranicz uprawnienia do skrzynek pocztowych i kalendarzy, używaj profili tymczasowych do zadań „agentic”. (Wniosek na podstawie CometJacking/Scamlexity).

Dla SOC/Blue Team

  1. Blokady DNS/URL: dodaj wykazane przez BforeAI wskaźniki (domeny typosquatting) do list blokad i monitoringu; śledź rejestracje z ciągami comet|perplexity|browser|ai.
  2. Polityka instalacji: wymuś allow-listę źródeł oprogramowania; blokuj instalatory z unknown publisher.
  3. Detekcje: reguły na ruch do nowych, świeżo zarejestrowanych domen + detekcja nietypowych zapytań HTTP/JS wskazujących na exfiltrację przez agenta (np. base64 w parametrach URL opisana przez LayerX).
  4. Awareness: przeszkol użytkowników nt. prompt-injection i ryzyk „agentic browsing”; pokaż realne dema (Scamlexity).

Różnice / porównania z innymi przypadkami

  • AI-native vs. klasyczne przeglądarki: kluczowa różnica to agent wykonujący akcje. W tradycyjnej przeglądarce ofiara musi kliknąć/ulegać socjotechnice; w AI-przeglądarce agent może zautomatyzować niepożądane decyzje. (Wniosek na podstawie Guardio/LayerX).
  • Powierzchnia ataku: poza phishingiem dochodzi manipulacja kontekstem (prompt-injection, data exfiltration z „pamięci” agenta), co zwiększa skutki błędu użytkownika.

Podsumowanie / kluczowe wnioski

  • Popularność Comet po udostępnieniu „dla wszystkich” zbiegła się z falą nadużyć marki (domeny, reklamy, aplikacje).
  • Zagrożenia „agentic” sprawiają, że koszt błędu użytkownika jest wyższy niż w klasycznych przeglądarkach. Zasada 0-zaufania do reklam i nieoficjalnych źródeł jest tu krytyczna.
  • Organizacje powinny wyprzedzić atakujących: blokady DNS, polityki instalacji, profile ograniczone dla AI-agentów, oraz bieżące śledzenie wskaźników BforeAI.

Źródła / bibliografia

  • SecurityWeek: Hackers Target Perplexity Comet Browser Users (24 paź 2025). (SecurityWeek)
  • BforeAI: Threat Research Report: Malicious Activity Surrounding Perplexity’s Comet Browser Launch (paź 2025). (BforeAI)
  • Perplexity Blog: Introducing Comet (9 lip 2025) i Comet is now available to everyone worldwide (2 paź 2025). (Perplexity AI)
  • Guardio Labs: “Scamlexity”: We Put Agentic AI Browsers to the Test (20 sie 2025). (Guard.io)
  • LayerX: CometJacking: How One Click Can Turn Perplexity’s Comet AI Browser Against You (paź 2025). (LayerX)

Raportowanie Incydentów W Zgodzie Z NIS2 – Jak Działa Zasada 24h/72h

Dlaczego raportowanie incydentów stało się kluczowe w dyrektywie NIS2

Dyrektywa NIS2 (Network and Information Systems Directive 2) wprowadza jednolite wymogi w całej UE dotyczące cyberbezpieczeństwa, w tym obowiązek szybkiego zgłaszania poważnych incydentów bezpieczeństwa. Organizacje uznane za podmioty kluczowe lub istotne (ang. essential and important entities) muszą raportować incydenty o znaczącym wpływie na usługi zgodnie z zasadą 24h/72h.

Czytaj dalej „Raportowanie Incydentów W Zgodzie Z NIS2 – Jak Działa Zasada 24h/72h”

Lazarus (Korea Płn.) atakuje europejskie firmy obronne z sektora UAV. Nowa fala „Operation DreamJob”

Wprowadzenie do problemu / definicja kampanii

Badacze ESET opisali nową odsłonę operacji szpiegowskiej Operation DreamJob przypisywanej grupie Lazarus powiązanej z Koreą Północną. Od końca marca 2025 r. atakujący sukcesywnie zaatakowali trzy firmy z branży obronnej w Europie Środkowej i Południowo-Wschodniej, z czego co najmniej dwie są silnie związane z technologiami UAV (drony). Cel: kradzież własności intelektualnej i know-how produkcyjnego. Główne narzędzie na etapie post-exploitation to RAT ScoringMathTea.

Informacje te potwierdzają także serwisy branżowe, które podkreślają związek kampanii z rozwojem programu dronowego w KRLD oraz wykorzystanie fałszywych ofert pracy jako wektora wejścia.

W skrócie

  • Cel: szpiegostwo przemysłowe dotyczące dronów (UAV), komponentów i oprogramowania.
  • Ofiary: 3 firmy obronne (metalurgia, producent części lotniczych, firma obronna).
  • Wejście: socjotechnika „DreamJob” – rekruter + spreparowana dokumentacja / czytnik PDF.
  • Łańcuch infekcji: trojanizowane projekty OSS (np. MuPDF, wtyczki Notepad++/WinMerge, TightVNC, libpcre, DirectX), DLL sideloading, ładowanie w pamięci (MemoryModule-style).
  • Payload: ScoringMathTea RAT (~40 komend), C2 na skompromitowanych serwerach (często w katalogach WordPress).
  • Artefakt: dropppery z wewnętrzną nazwą DroneEXEHijackingLoader.dll (wskazówka na fokus „drone”).
  • Szerszy obraz: stała, ewolucyjna zmiana bibliotek do DLL proxying i dobór nowych projektów OSS do trojanizacji.

Kontekst / historia / powiązania

Operation DreamJob to długoletnia taktyka Lazarusa oparta na latach udanych kampanii z wabikami rekrutacyjnymi; nakłada się z wcześniej opisywanymi operacjami (np. North Star, DeathNote). Motywacja Lazarusa obejmuje szpiegostwo, sabotaż i zysk finansowy, ale w tej fali dominuje espionage na rzecz rozwoju zdolności wojskowych KRLD (m.in. drony). W artykule ESET wskazano również kontekst wojny Rosja–Ukraina i doniesień o przyspieszeniu programu UAV w KRLD.

Analiza techniczna / szczegóły kampanii

Wektor wejścia i initial access

  • Kontakt „rekrutera”, dokument z opisem stanowiska i trojanizowany czytnik PDF do jego otwarcia.
  • Alternatywnie – zachęta do pobrania „przydatnej” wtyczki/oprogramowania OSS z dołączonym loaderem.

Łańcuch infekcji (przykładowy)

  1. Uruchomienie trojanizowanej aplikacji/plugina (MuPDF, Notepad++/WinMerge plugin, TightVNC, libpcre, DirectX wrapper).
  2. DLL sideloading / proxying – złośliwy DLL ładowany przez zaufany proces.
  3. Loader decrypts & reflectively loads payload w pamięci (MemoryModule-style).
  4. Dostarczenie ScoringMathTea RAT lub BinMergeLoader (MISTPEN) – ten drugi potrafi nadużywać Microsoft Graph API i tokenów do pozyskiwania dalszych ładunków.

ScoringMathTea RAT

  • ~40 poleceń: zarządzanie plikami/procesami, recon, wymiana konfiguracji, otwieranie połączeń TCP, pobieranie/uruchamianie kolejnych modułów.
  • C2 często na skompromitowanych serwerach www, ukryty w folderach WordPress (motywy/wtyczki).
  • Obserwowany w atakach od 2022/2023 r., m.in. na firmy w PL (obrona), UK (automatyka), IT (aerospace), co potwierdza, że to „flagowy” ładunek DreamJob.

Artefakty i telemetry

  • Wspólna wewnętrzna nazwa DLL: DroneEXEHijackingLoader.dll.
  • Zgłoszenia do VirusTotal (IT, ES) z próbkami trojanizowanych komponentów (np. MuPDF, dinput.dll).

Praktyczne konsekwencje / ryzyko

  • Utrata IP (projekty, BOM, procesy technologiczne, sterowanie, algorytmy kontroli lotu).
  • Ryzyko supply-chain – trojanizowane biblioteki OSS w toolchainie inżynierskim.
  • Eskalacja geopolityczna – wykorzystanie wycieków do rozwoju programów zbrojeniowych KRLD i eksportu uzbrojenia.
  • Trwałość operacji – stabilny TTP (DLL sideloading + OSS trojanizacja) + niska widoczność (reflective loading).

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/IR

  1. Hunting TTP-based:
    • Wzorce DLL sideloading (nieoczekiwane biblioteki przy zaufanych EXE, anomalie w LoadLibrary),
    • Reflective loader artefakty w pamięci, nietypowe sekcje PE, brak na dysku,
    • Nienaturalne wywołania Graph API/tokeny z hostów użytkowników.
  2. Network:
    • Wykrywanie C2 w katalogach WordPress (ścieżki /wp-content/themes/, /plugins/ używane nienormalnie),
    • Egress deny-by-default + TLS inspection dla ruchu do rzadkich hostów,
    • Blokada nietypowych TCP beacons z aplikacji biurowych.
  3. EDR/OS hardening:
    • Windows Defender Application Control / WDAC lub AppLocker do whitelisting’u binarek i DLL,
    • PreferSecureLibraryLoading / Safe DLL Search Mode i blokady znanych ścieżek sideloadingu,
    • ASR rules (blokowanie ładowania DLL z katalogów użytkownika/temp). (Dobre praktyki branżowe w kontekście DLL sideloading).
  4. OSS hygiene:
    • Mirror / hash-pinning dla MuPDF, Notepad++/WinMerge plugins, TightVNC, libpcre itp.; pobrania tylko z verified release z podpisem,
    • SBOM i skan integralności w CI/CD narzędzi inżynierskich,
    • Blokada uruchamiania niepodpisanych plug-inów.
  5. Identity & SaaS:
    • MFA odporne na phishing (FIDO2),
    • Monitorowanie rzadkich grantów i uprawnień Microsoft Graph oraz tworzenia ukrytych rejestracji aplikacji.
  6. User awareness / proces HR:
    • Procedura „oddzielne środowisko” do otwierania dokumentów rekrutacyjnych (sandbox/VDI),
    • Weryfikacja rekruterów (domena, DKIM/DMARC, kontakt przez oficjalny portal),
    • Zakaz instalacji „czytników” przysłanych przez osoby trzecie.

ESET opublikował IoC (domeny, skróty binarek) do tej fali – włącz je do SIEM/EDR i feedów blokujących.

Różnice / porównania z innymi przypadkami

  • Konsekwencja zamiast rewolucji: ScoringMathTea od 2022/2023 r. zmienił się nieznacznie – Lazarus stawia na stabilny, wystarczający zestaw funkcji, a polimorfizm przenosi do warstwy dropperów/loaderów.
  • Nowe biblioteki do proxy’owania DLL i dobór mniej popularnych projektów OSS do trojanizacji zwiększają evasiveness przy zachowaniu tego samego „silnika” C2.
  • Fokus sektorowy: wcześniejsze DreamJob częściej celowały w krypto/IT; obecnie nacisk na UAV i łańcuch dostaw obronności.

Podsumowanie / kluczowe wnioski

Lazarus nie musi przeprojektowywać narzędzi – wystarczy zmieniać nośniki (OSS, wtyczki) i utrzymywać presję socjotechniczną. Organizacje z sektora obronnego, szczególnie UAV, powinny przenieść kontrolę z samej detekcji plików na TTP-first detection & hardening (DLL sideloading, reflective loading, Graph API abuse) oraz uszczelnić procesy HR.

Źródła / bibliografia

  • ESET Research – „Gotta fly: Lazarus targets the UAV sector” (23.10.2025). Najpełniejsza analiza techniczna i kontekst. (welivesecurity.com)
  • ESET Newsroom – komunikat prasowy z kluczowymi tezami i timeline. (ESET)
  • BleepingComputer – omówienie łańcuchów ataku, OSS i IoC. (BleepingComputer)
  • CyberScoop – streszczenie z akcentem na motywację i artefakt „DroneEXEHijackingLoader.dll”. (CyberScoop)
  • Dark Reading – komentarz o stabilności ScoringMathTea i ewolucji DLL proxying. (Dark Reading)

Toys “R” Us Canada: wyciek danych klientów potwierdzony. Co wiemy i jak się chronić

Wprowadzenie do problemu / definicja luki

Toys “R” Us Canada powiadomiło klientów o naruszeniu bezpieczeństwa, w wyniku którego nieuprawniony podmiot skopiował część rekordów z bazy danych klientów, a następnie je upublicznił w sieci. Firma po raz pierwszy dowiedziała się o sprawie 30 lipca 2025 r., gdy na „nieindeksowanej części internetu” pojawiły się rzekome dane klientów. Późniejsza analiza z udziałem zewnętrznych ekspertów potwierdziła autentyczność informacji.

W skrócie

  • Zakres danych: imię i nazwisko, adres korespondencyjny, e-mail, numer telefonu. Bez haseł i danych kart płatniczych.
  • Linia czasu: 30.07.2025 – odkrycie wycieku w sieci; 23.10.2025 – wysyłka powiadomień do klientów i mediów.
  • Status: Dane zostały już opublikowane online; firma zgłasza incydent regulatorom prywatności w Kanadzie i wdraża dodatkowe środki ochrony.

Kontekst / historia / powiązania

Kanadyjski sektor retail w 2025 r. mierzy się z serią incydentów dotyczących baz klientów. Kilka tygodni wcześniej Canadian Tire poinformował o naruszeniu obejmującym dane e-commerce (m.in. imię i nazwisko, adres, e-mail, rok urodzenia), co pokazuje szerszy trend ukierunkowania przestępców na bazy CRM/lojalnościowe i zaplecza sklepów internetowych.

Analiza techniczna / szczegóły luki

Z dotychczasowych komunikatów wynika, że atakujący skopiowali rekordy z bazy klientów i zrzucili je do publicznego obiegu (tzw. data dump). W powiadomieniach Toys “R” Us Canada podkreślono brak dowodów na kompromitację haseł czy danych kart oraz fakt, że skradzione atrybuty to wyłącznie PII niskiej wrażliwości (contact data). Firma nie ujawniła wektora wejścia ani okresu przebywania w systemach (dwell time).

Typy ujawnionych danych (per osoba, w różnej kombinacji):

  • imię i nazwisko,
  • adres pocztowy,
  • e-mail,
  • numer telefonu.

Proces reakcji: zatrudnienie zewnętrznych specjalistów ds. cyberbezpieczeństwa, potwierdzenie autentyczności dumpa, powiadomienie adresatów i regulatorów. Brak publicznych informacji o żądaniu okupu czy negocjacjach.

Praktyczne konsekwencje / ryzyko

Choć nie wyciekły hasła ani pełne dane kart, ryzyko dla klientów jest realne:

  • Spear-phishing i smishing (wiarygodne, spersonalizowane wiadomości podszywające się pod Toys “R” Us).
  • Account takeover przez reset hasła (jeśli ten sam e-mail jest używany w wielu usługach i wyciek łączy się z innymi zbiorami danych).
  • Ataki socjotechniczne (np. weryfikacja adresu/telefonu “w celu potwierdzenia zamówienia”).
  • Ryzyko prywatności offline (korespondencja fizyczna pod realny adres).

Rekomendacje operacyjne / co zrobić teraz

Dla osób, które otrzymały powiadomienie (i szerzej – dla klientów e-commerce w Kanadzie):

  1. Zmień hasła wszędzie, gdzie używasz tego samego e-maila; włącz MFA (aplikacja TOTP, klucze FIDO) w usługach krytycznych.
  2. Filtruj phishing: nie klikaj linków z SMS-ów/e-maili podszywających się pod sklep; wejdź ręcznie na stronę, aby zweryfikować komunikat.
  3. Ustaw alerty na koncie e-mail (reguły, ostrzeżenia logowania), monitoruj przekierowania poczty.
  4. Zastrzeż preferencje marketingowe (ogranicz profilowanie e-mail/SMS, jeśli nie chcesz otrzymywać kampanii mogących ułatwiać podszywanie).
  5. Monitoruj raporty kredytowe i rozważ alert fraudowy, jeśli pojawią się podejrzane działania.
  6. Zapisz treść otrzymanego powiadomienia (data, ID sprawy, kontakt do Privacy Officer) – ułatwi to ewentualne zgłoszenia do regulatora.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Toys “R” Us Canada (październik 2025): kontaktowe PII (imię, adres, e-mail, telefon), brak haseł/kart, publiczny dump danych. Źródłem weryfikacji była obserwacja „nieindeksowanej” części internetu i analiza ekspertów.
  • Canadian Tire (październik 2025): naruszenie bazy e-commerce (w tym szyfrowane hasła i skrócone numery kart), bez danych bankowych/lojalnościowych. Różni się zakresem atrybutów i architekturą dotkniętej bazy.

Podsumowanie / kluczowe wnioski

Publikacja danych kontaktowych klientów Toys “R” Us Canada oznacza długotrwałe ryzyko ataków socjotechnicznych. Nawet bez haseł i kart, kombinacja imię+adres+telefon+e-mail to zestaw umożliwiający skuteczne phishingi i podszywanie pod obsługę klienta. Organizacja deklaruje współpracę z ekspertami i regulatorami oraz wzmocnienie zabezpieczeń, ale higiena kont po stronie użytkowników pozostaje krytyczna.

Źródła / bibliografia

  • BleepingComputer: “Toys ‘R’ Us Canada warns customers’ info leaked in data breach” (23.10.2025). Najpełniejsze wstępne szczegóły incydentu i timeline. (BleepingComputer)
  • The Register: “Crooks swipe Toys R Us Canada customer data and dump it online” (23.10.2025). Potwierdzenia zakresu danych, brak haseł/kart, komentarz dot. ryzyk. (The Register)
  • CityNews / The Canadian Press: “Toys ‘R’ Us Canada customers notified of breach of personal information” (23.10.2025). Informacja o powiadomieniach e-mail i wyjaśnienia nt. „nieindeksowanej” sieci. (CityNews Vancouver)
  • Canadian Tire Corporation – strona incydentu (kontekst porównawczy, 10.2025). (corp.canadiantire.ca)