CyberCafe - Aktualności Cyberbezpieczeństwa

Atakujący przypadkiem odsłania swoje sposoby działania i codzienne aktywności po zainstalowaniu oprogramowania zabezpieczającego Huntress na własnej maszynie operacyjnej. Incydent ten dał analitykom niezwykłe spojrzenie na to, jak atakujący korzystają z sztucznej inteligencji, narzędzi badawczych i automatyzacji do doskonalenia swoich działań. Przez trzy miesiące Huntress obserwował atakującego testującego wiele narzędzi bezpieczeństwa, korzystającego z platform automatyzacji pracy, takich jak Make.com, oraz badającego interfejsy API Botów Telegram w celu usprawnienia operacji. Odkryte dane ujawniły zainteresowanie generowaniem tekstów i arkuszy kalkulacyjnych z wykorzystaniem sztucznej inteligencji do tworzenia wiadomości phishingowych i zarządzania skradzionymi informacjami.

Zawiązanie potencjalnej katastrofy związanej z łańcuchem dostaw npm zostało udaremnione w rekordowym tempie po przejęciu weryfikowanych danych dewelopera przez atakujących.

Nowe złośliwe oprogramowanie na platformie Android, zwanie RatOn, rozwija się od podstawowego narzędzia zdolnego do przeprowadzania ataków przekazywania NFC do zaawansowanego trojana dostępu zdalnego z funkcjami Automated Transfer System (ATS) do oszustw urządzenia. Zagrożenie to kombinuje tradycyjne ataki overlay z automatycznymi przekazami pieniędzy i funkcjonalnością NFC relay, co czyni je unikalnie silnym zagrożeniem.

RatOn to nowy, zaawansowany trojan zdalnego dostępu dla systemu Android, posiadający zdolności do oszustw bankowych, w tym ataki z użyciem NFC i automatyczne transfery pieniężne. Malware ten potrafi przeprowadzać ataki typu overlay, wykonywać transfer pieniędzy i zablokować urządzenie. Był zauważony na platformie Play Store w postaci fałszywej aplikacji TikTok 18+.

Chińscy sprawcy podszywający się pod przedstawiciela Moolenaar-a próbowali pozyskać tajne informacje w trakcie rozmów handlowych USA-Chiny. Oszuści wykorzystywali pliki i linki do uzyskania dostępu do systemów ofiar, aby wpłynąć na politykę i strategie negocjacji USA oraz zdobyć przewagę handlową i polityczną.

Nowe kampanie malware wykorzystujące zaawansowane techniki unikania wykrycia i socjotechniki podnoszą ryzyko związane z phishingiem i AI. Malware takie jak MostereRAT i MetaStealer atakują użytkowników japońskich, wykorzystując złośliwe wiadomości e-mail, fałszywe instalatory programów i manipulacje interfejsem użytkownika w celu omijania rozwiązań bezpieczeństwa.

Badacze cyberbezpieczeństwa odkryli szczegóły kampanii phishingowej, która wykorzystuje nowy malware MostereRAT, przekształcony z bankowego na trojana zdalnego dostępu. Z kolei inna kampania wykorzystuje techniki ClickFix do dystrybucji informacyjnego kradzieżyusu MetaStealer. Natomiast CloudSEK opisało nowatorskie dostosowanie taktyki ClickFix, wykorzystującej niewidzialne komunikaty poprzez obfuskację z użyciem CSS, aby zwiększyć ryzyko wykorzystania przez AI i produkować podsumowania z kontrolowanymi instrukcjami ClickFix od atakujących.

Odkryto nowy wariant kampanii wykorzystującej sieć TOR do ataków cryptojackingowych, celujących w narażone interfejsy Docker. Atak polega na wykorzystaniu Docker API, montowaniu systemu plików hosta w nowym kontenerze i wykonywaniu skryptów z domeny .onion.

Odkryto wariant niedawno ujawnionej kampanii, która wykorzystuje sieć TOR do ataków cryptojackingowych skierowanych na narażone interfejsy API Docker. Atak polega na infiltrowaniu źle skonfigurowanych interfejsów API Docker, instalowaniu kryptowalutowego kopacza XMRig i tworzeniu botnetu. Ponadto, aktywność obejmuje ataki Telnet i związane z portem 9222 w celu rozprzestrzeniania się i przeprowadzania kradzieży danych.

W wyniku ataku łańcucha dostaw oprogramowania wiele pakietów npm zostało skompromitowanych po zdobyciu dostępu do konta utrzymującego poprzez atak phishingowy. Sprawca, przedstawiając się jako npm, nakłonił użytkownika do podania swoich danych uwierzytelniających, co spowodowało opublikowanie złośliwej wersji pakietów. Malware wstrzyknięty do kodu źródłowego miał na celu kradzież kryptowalut poprzez manipulację zapytaniami. Incydent ten uwydatnia potrzebę zwiększenia czujności i zabezpieczenia łańcuchów dostaw.

Podczas cyberataków na 20 popularnych pakietów npm pojawiają się ryzyka dla użytkowników związane z kradzieżą kryptowalut. Incydent ten podkreśla potrzebę zwiększenia świadomości i zabezpieczenia ciągłej integracji/dostarczania ciągłego oraz kontroli zależności.

Artykuł opisuje złośliwe oprogramowanie 'MostereRAT', które potrafi skutecznie kamuflować się oraz blokować narzędzia bezpieczeństwa. Autor informuje o działaniu usługi ochronnej, która reaguje na podejrzane aktywności online. Jeden z blokerów może być wywołany poprzez wysłanie konkretnej frazy, polecenia SQL lub nieprawidłowych danych. Istnieje możliwość kontaktu ze właścicielem strony w celu odblokowania, wymagane jest jednak podanie informacji o aktywności, której podjęcie spowodowało zablokowanie.

Nowa, zaawansowana kampania malware'u wykorzystująca reklamy płatne w wyszukiwarkach internetowych do dostarczania złośliwego oprogramowania, celująca w firmy IT i deweloperów oprogramowania w Zachodniej Europie. Malware GPUGate wykorzystuje fałszywe commity na GitHub, rozmiarowy MSI, kryptowany dekoder bramy GPU oraz skrypty PowerShell w celu kradzieży informacji i uniknięcia wykrycia.

Nowe zaawansowane kampanie złośliwego oprogramowania wykorzystują płatne reklamy w Google do infekowania użytkowników poszukujących popularnych narzędzi takich jak GitHub Desktop. Atakujące oprogramowanie GPUGate wprowadza skomplikowane procedury szyfrowania i dekodowania, by unikać wykrycia, wraz z wykorzystaniem fałszywych commity na GitHub i konkretnej strony do pobierania.

Nowy rodzaj malware MostereRAT skierowany jest na użytkowników systemów Windows i umożliwia atakującym pełną kontrolę nad skompromitowanymi urządzeniami. Kampania phishingowa charakteryzuje się zaawansowanymi technikami unikania wykrycia oraz kreatywnym wykorzystaniem języka kodowania chińskiego.

Grupa Noisy Bear, możliwie pochodzenia rosyjskiego, zidentyfikowana jako odpowiedzialna za ataki na sektor energetyczny Kazachstanu poprzez kampanię phishingową BarrelFire. Ataki te wykorzystują fałszywe dokumenty i zaawansowane techniki, a infrastruktura sprawcy jest hostowana w Rosji. Raporty wskazują także na aktywność innych zagrożeń cybernetycznych skierowanych na Rosję, Polskę i innych krajach.

Grupa zagrożeń Noisy Bear, prawdopodobnie pochodzenia rosyjskiego, przeprowadza ataki na sektor energetyczny w Kazachstanie, wykorzystując kampanię phishingową BarrelFire. Atak polega na wysyłaniu fałszywych dokumentów związanych z departamentem IT KazMunaiGas, zainfekowanych szkodliwym oprogramowaniem. Badacze zidentyfikowali infrastrukturę ataków i ujawnili związki ze sferą cyberbezpieczeństwa innych krajów, takich jak Ukraina, Polska i Rosja.

Agencje cywilne wykonawczej w Stanach Zjednoczonych zostały zobowiązane do aktualizacji swoich instancji Sitecore do 25 września 2025 r. w związku z odkryciem poważnej podatności, która jest aktywnie wykorzystywana przez cyberprzestępców. Podatność ta umożliwia atakującym zdalne wykonanie kodu poprzez wykorzystanie eksponowanych kluczy maszyny ASP.NET.

Agencje Federalnego Cywilnego Obszaru Wykonawczego otrzymały zalecenie aktualizacji instancji Sitecore do 25 września 2025 r. w związku z odkryciem krytycznej luki bezpieczeństwa wykorzystywanej na dziko. Wrażliwość to CVE-2025-53690 z wynikiem CVSS 9.0. Zagrożenie to jedno z wielu ataków ViewState deserializacji, które wykorzystują publicznie dostępne klucze maszynowe ASP.NET.

Grupa TAG-150, odpowiedzialna za ramy złośliwego oprogramowania jako usługi (MaaS) i narzędzie CastleLoader, stworzyła także trojana zdalnego dostępu znany jako CastleRAT. Złośliwe programy te są wykorzystywane jako wektory dostępu do szerokiej gamy dodatkowych ładunków, w tym trojanów zdalnego dostępu i kradzieży informacji. Nowo odkryty CastleRAT pozwala na pobieranie kolejnych ładunków, udostępnia zdolności zdalnego powłoki i potrafi samodzielnie się usunąć.

Analiza operacji złośliwego oprogramowania CastleLoader oraz nowo odkrytego trojana zdalnego dostępu CastleRAT przeprowadzona przez zespół Recorded Future Insikt Group. Odkrycie obejmuje funkcjonalności, takie jak zbieranie informacji systemowych, pobieranie i wykonywanie dodatkowych obciążeń oraz wykonywanie poleceń za pomocą CMD i PowerShell. Dodatkowe informacje dotyczą różnych wariantów i funkcji malwersów, takich jak DeerStealer, RedLine, StealC czy NetSupport RAT, a także techniki wywoływania zakażeń poprzez phishing i repozytoria GitHub.

Nowa kampania Atomic macOS Stealer (AMOS) skierowana jest do użytkowników macOS, maskując złośliwe oprogramowanie jako 'skrakowane' wersje legalnych aplikacji. Cyberprzestępcy wykorzystują nowe metody instalacji w celu ominiecia zabezpieczeń Apple, co stanowi znaczną adaptację taktyki. Pokrzywdzeni są wprowadzani w błąd poprzez techniki inżynierii społecznej, a po zainstalowaniu AMOS nawiązuje trwałość i kradnie wrażliwe dane z systemu ofiary, w tym dane logowania, dane przeglądarki, portfele kryptowalut, rozmowy Telegram, profile VPN, elementy schowka, notatki Apple oraz pliki z popularnych folderów.

WordPress.com to potężna platforma do tworzenia stron internetowych, która oferuje hosting i bezpieczeństwo, ale wymaga zaangażowania użytkownika. Przegląd przeznaczony dla osób z dużą ilością treści, ale nie zapewnia łatwego budowania strony na zasadzie przeciągnij i upuść.

W II kwartale 2025 r. ataki mobilne z udziałem złośliwego oprogramowania, adware'u i niechcianego oprogramowania spadły do wartości 10,71 miliona. Odkryto nową złośliwą aplikację SparkKitty kradnącą obrazy z galerii na Androida i iOS. Warto zauważyć Trojana-DDoS.AndroidOS.Agent.a, który umożliwia ataki DDoS z urządzeń mobilnych. Liczba próbek złośliwego oprogramowania na Androida i potencjalnie niechcianego oprogramowania zmniejszyła się w porównaniu do poprzedniego kwartału. Bankowe trojany pozostają w pierwszej kolejności, z rodzina Mamont dominującą tę kategorię.

W drugim kwartale 2025 roku zaobserwowano liczne ważne wydarzenia związane z cyberbezpieczeństwem, takie jak ujęcie podejrzanych za ataki ransomware, działalność różnych grup przestępczych oraz wykorzystywanie luk w programach. Ponadto, statystyki pokazują spadek ilości nowych odmian ransomware oraz ochronę unikalnych użytkowników przed tego typu zagrożeniami.

Nowa kampania malware'u wykorzystująca pliki SVG w atakach phishingowych na system sądownictwa Kolumbii. Oceana plików SVG rozpowszechniana drogą mailową, wykonująca skrypt JavaScript w celu zainfekowania strony HTML podszywającej się pod portal urzędu Prokuratora Generalnego Kolumbii. Odkrycie 44 unikalnych plików SVG, które uniknęły wykrycia przez silniki antywirusowe, wskutek zastosowania obfuskacji i innych technik. Dodatkowo opisano infekcję macOS przez Atomic macOS Stealer i wprowadzenie nowych metod instalacji omijających Gatekeeper macOS.

Badacze cyberbezpieczeństwa odkryli nową kampanię malware, wykorzystującą pliki Scalable Vector Graphics (SVG) w atakach phishingowych udająccych kolumbijski system sądowy. Pliki te rozsyłane są za pomocą e-maili i zawierają złośliwe skrypty JavaScript, dekodujące i wstrzykujące zakodowaną w Base64 stronę phishingową udającą portal Fiscalía General de la Nación. Zarówno użytkownicy jak i firmy narażone są na kradzież danych, kradzież finansową i inne ataki pochodne.

Rosyjska grupa hakerska APT28 używa nowego backdooru Microsoft Outlook o nazwie NotDoor, aby infiltrować firmy z krajów NATO. Złośliwe oprogramowanie umożliwia exfiltrację danych, wgrywanie plików i uruchamianie poleceń na komputerze ofiary, wykorzystując Outlook jako kanał komunikacyjny, eksfiltracji danych i dostarczania malware'u.

Rosyjska grupa hakerska APT28 wprowadziła nowy backdoor „NotDoor” do programu Microsoft Outlook, umożliwiający exfiltrację danych i zdalne wykonywanie poleceń. Malware jest rozpowszechniany poprzez wykorzystanie techniki DLL side-loading i ma za zadanie działać jako cichy kanał komunikacyjny, exfiltracyjny i dostarczający złośliwe oprogramowanie. Ataki wykorzystują także usługę Microsoft Dev Tunnels do dodatkowego ukrycia infrastruktury C2.

Grupa badawcza ds. cyberbezpieczeństwa ujawniła nowe zagrożenie o nazwie GhostRedirector, które zdołało skompromitować przynajmniej 65 serwerów Windows, głównie w Brazylii, Tajlandii i Wietnamie. Ataki doprowadziły do instalacji pasywnego backdooru C++ o nazwie Rungan oraz modułu Internet Information Services (IIS) o kryptonimie Gamshen. Sprawca działa od co najmniej sierpnia 2024 roku.

Grupa zagrożeń GhostRedirector zdołała zhakować co najmniej 65 serwerów Windows, głównie w Brazylii, Tajlandii i Wietnamie. Ataki te doprowadziły do zainfekowania serwerów backdoorem Rungan oraz modułem Gamshen dla usługi Internet Information Services (IIS). Atakujący wykorzystują manewry SEO do manipulacji wynikami wyszukiwarek, w tym Google, co może zaszkodzić renomie stron internetowych.

Nowo zidentyfikowana grupa hakerska o nazwie GhostRedirector zaatakowała co najmniej 65 serwerów z systemem Windows na całym świecie, głównie w Brazylii, Tajlandii i Wietnamie. Używając specjalnie przygotowanych narzędzi, takich jak backdoor Rungan i złośliwy moduł IIS o nazwie Gamshen, grupa ta przeprowadza akcje oszustwa związanego z wynikami wyszukiwania w celu podniesienia rankingów określonych stron internetowych, zwłaszcza platform hazardowych. Eksperci z ESET zidentyfikowali szereg wskaźników wskazujących na powiązania GhostRedirector z Chinami, co podkreśla podobieństwo do działań innego, wcześniej znaczonego zespołu hakerskiego, DragonRank.

Badanie eksperckie ujawniło, że północnokoreańscy hakerzy próbują wykorzystać platformy inteligencji zagrożeń do ataków phishingowych. Grupa działa koordynowanie, demonstrując wytrwałość i skupiając się na szybkiej reakcji na ewentualne wycieki. Alertuje się zarówno poszukujących pracy, jak i dostawców infrastruktury na niebezpieczeństwo.

Analitycy bezpieczeństwa ujawnili atak wykorzystujący lukę zero-day w popularnym systemie zarządzania treścią Sitecore, dotykającym m.in. firmy takie jak HSBC, L’Oréal, Toyota i United Airlines.

W badaniach zidentyfikowano nową technikę wykorzystywaną przez cyberprzestępców do omijania zabezpieczeń przed złośliwymi reklamami na platformie społecznościowej X za pomocą sztucznej inteligencji asystenta Grok. Metoda otrzymała kryptonim Grokking i polega na wykorzystaniu odtwarzanych postów wideo z treściami dla dorosłych jako przynęty, ukrywając złośliwe linki, które kierują użytkowników do podejrzanych sieci reklamowych. Cyberprzestępcy zwiększają widoczność linków poprzez interakcję z asystentem AI, Grok, co pozwala im rozprzestrzeniać złośliwe linki na milionach kont we wspomnianej platformie.

Nowa technika wykorzystywana przez cyberprzestępców polega na omijaniu zabezpieczeń antyreklamowych na platformie społecznościowej X i rozpowszechnianiu szkodliwych linków za pomocą sztucznej inteligencji asystenta Grok. Odkrycie to zostało podkreślone przez Nati Tala, szefa Guardio Labs, jako technika o nazwie Grokking. Przestępcy wykorzystują Grok do szerzenia linków ukrytych w metadanych, przekierowując użytkowników na podejrzane sieci reklamowe i strony z złośliwym oprogramowaniem.

GhostRedirector to nowy podmiot zagrożenia identyfikowany przez badaczy ESET, atakujący serwery Windows za pomocą pasywnego backdooru C++ oraz złośliwego modułu IIS manipulującego wynikami wyszukiwania Google.

Artkuł opisuje atak grupy APT28 na Microsoft Outlook za pomocą złośliwego oprogramowania 'NotDoor', które może być używane do wyłudzania danych użytkowników. Podczas próby dostępu do witryny użytkownika może zostać zablokowany ze względu na podejrzaną aktywność, co może wynikać z próby użycia określonego słowa, komendy SQL lub skomplikowanych danych. Zachęca się użytkowników do kontaktu z właścicielem witryny w celu rozwiania ewentualnych blokad bezpieczeństwa.

Odkryto dwa nowe złośliwe pakunki na rejestrze npm, które wykorzystują umowy inteligentne dla blockchainu Ethereum do dokonywania złośliwych działań na skompromitowanych systemach, sygnalizując rosnącą tendencję sprawców zagrożeń do poszukiwania nowych sposobów dystrybucji złośliwego oprogramowania i unikania wykrycia.

Badacze cyberbezpieczeństwa odkryli nowe złośliwe pakiety na rejestrze npm, które wykorzystują inteligentne kontrakty dla blockchaina Ethereum do przeprowadzenia szkodliwych działań na skompromitowanych systemach. Pakiety te stanowią część zaawansowanej kampanii mającej wpływ na społeczność deweloperów npm i GitHub, atakując ich w sprytny sposób. Taka technika wykorzystywania Ethereum smart contracts w celu ukrycia szkodliwego oprogramowania stanowi nowe zagrożenie, na które powinni być świadomi deweloperzy kryptowalut.

Odkryto kampanię atakującą deweloperów poprzez paczki npm i repozytoria GitHub, wykorzystującą Ethereum smart contracts do ukrywania infrastruktury C2. Atak jest częścią większej kampanii obejmującej fałszywe repozytoria i manipulację społecznością GitHub.

FBI informuje, że seniorzy są coraz bardziej narażeni na oszustwa internetowe i cyberprzestępców. Oszuści wykorzystujący oszustwo Phantom Hacker stosują kombinację inżynierii społecznej i technologii, aby wyłudzić dostęp do funduszy od starszych obywateli, co może prowadzić do poważnych strat finansowych.

Grupa badaczy firmy S2 Grupo zauważyła nową tylną furtkę do programu Outlook, pozwalającą cyberprzestępcom na kradzież danych, wgrywanie plików i wykonanie poleceń na komputerze ofiary. Badacze nazwali tę furtkę 'NotDoor', przypisując ją rosyjskiej grupie cyberprzestępczej APT28. Malware ten, skierowany na Outlooka, jest zabiegiem wyrafinowanego narzędzia Visual Basic dla Aplikacji, umożliwiającego cyberprzestępcom przeprowadzenie operacji szpiegowskich lub ataków ukierunkowanych.

Sieć piractwa IPTV obejmująca ponad 1100 domen i ponad 10 000 adresów IP została odkryta przez badaczy cyberbezpieczeństwa. Sieć ta ma wpływ na znane marki rozrywkowe i sportowe, generując miliardy dolarów rocznie.

Iranijczycy przeprowadzili koordynowaną kampanię spear-phishingu, wykorzystując fałszywe maile dyplomatyczne, aby infiltrować ambasady i konsulaty na całym świecie. Atak skupiał się głównie na Europie i Afryce, a wykorzystana technika polegała na przekonaniu odbiorców do uruchomienia złośliwego macro w dokumencie Worda, co pozwalało na zainfekowanie systemu malwarem.

Grupa związana z Iranem przeprowadziła zorganizowaną kampanię spear-phishingu, kierującą się do ambasad i konsulatów w Europie i innych regionach świata. Atak wykorzystywał manipulację treścią e-maili i makra VBA w celu zainstalowania złośliwego oprogramowania na urządzeniach ofiar.

Artykuł omawia najlepsze usługi hostingu VPS na 2025 rok i przedstawia rekomendacje oraz analizę eksperta. Wybór topowych usług obejmuje takie aspekty jak wydajność, bezpieczeństwo, dostosowalność i cenę. Autor wskazuje Ionos, Hostinger, Kamatera, InMotion Hosting, Hosting.com, DigitalOcean i GoDaddy jako główne opcje w kategorii hostingu VPS. Przedstawia cechy oraz opinie na temat każdej z tych platform, zwracając uwagę na dostępne funkcje, ceny początkowe, a także dla kogo jest dedykowana dana usługa. Zdjęcie kompleksowego podejścia do wyboru hostingu VPS, artykuł prezentuje różnorodność opcji i zalecenia dotyczące różnych potrzeb użytkowników w zakresie hostingu VPS.

Firma CloudFlare poinformowała o automatycznym zneutralizowaniu ataku DDoS osiągającego rekordowe 11.5 terabajtów na sekundę. Atak ten trwał zaledwie 35 sekund i stanowił zaledwie część wzrostu hiper-wolumetrycznych ataków DDoS, które zyskują na popularności z powodu swojej skuteczności.

Firma Cloudflare automatycznie zneutralizowała rekordowy atak wolumetryczny typu DDoS o mocy 11,5 terabitów na sekundę (Tbps). Atak trwał zaledwie 35 sekund, głównie polegał na przeprowadzeniu ataku UDP flood z Google Cloud. Takie ataki mają na celu przytłoczenie celu lawiną ruchu, powodując spowolnienie serwera lub nawet jego awarię.

Grupa Lazarus z Korei Północnej przeprowadziła kampanię inżynierii społecznej, wykorzystując trzy różne rodzaje złośliwego oprogramowania o nazwach PondRAT, ThemeForestRAT i RemotePE. Atak ten był obserwowany przez NCC Group's Fox-IT i miał miejsce w 2024 roku, kiedy to skoncentrował się na sektorze finansów zdecentralizowanych, prowadząc do kompromitacji systemu pracownika. Sprawcy wykorzystywali narzędzia takie jak keyloggery, stealery, czy programy proxy, aby przenikać i przesuwać się po sieci, zanim w końcu zainstalowali zaawansowany typ oprogramowania szpiegującego RemotePE.

Grupa zagrożeń powiązana z Koreą Północną, znana jako Lazarus Group, przeprowadziła kampanię inżynierii społecznej wykorzystując trzy różne rodzaje złośliwego oprogramowania - PondRAT, ThemeForestRAT i RemotePE. Atak miał miejsce w sektorze finansów zdecentralizowanych (DeFi) i doprowadził do skompromitowania systemu pracownika.Łańcuch ataku rozpoczyna się od podszywania się pod istniejącego pracownika firmy handlowej na Telegramie, a kończy na instalacji RemotePE, bardziej zaawansowanego RATa rezewowanego dla wysoko wartościowych celów.

Artykuł porusza problem związany z złośliwymi rozszerzeniami przeglądarek, zalecając ich usuwanie oraz podające praktyczne wskazówki dla zachowania bezpieczeństwa online. Wskazuje, że nawet rozszerzenia pochodzące z oficjalnych sklepów mogą być niebezpieczne, co skłania do ostrożności i sugeruje ograniczenie używania rozszerzeń lub korzystanie z narzędzi weryfikacji bezpieczeństwa przed instalacją.

Nowy złośliwy pakiet npm podający się za popularną bibliotekę nodemailer został odkryty przez badaczy z dziedziny cyberbezpieczeństwa. Pakiet 'nodejs-smtp' oprócz funkcji wysyłania e-maili wstrzykiwał kod do portfeli kryptowalutowych na komputerach, przekierowując transakcje na portfele kontrolowane przez atakującego.

Nowy backdoor o nazwie MystRodX został odkryty przez badaczy cyberbezpieczeństwa. Malware ten charakteryzuje się wysokim stopniem stealth oraz elastycznością w konfiguracji. Może być aktywowany za pośrednictwem specjalnie spreparowanych pakietów DNS lub ICMP.

MystRodX to nowy tajny backdoor, który pozwala na przechwytywanie danych z zainfekowanych systemów. Malware ten cechuje się wysokim stopniem kamuflażu i elastycznością, umożliwiając dostosowanie funkcji w zależności od konfiguracji. Jest aktywny od co najmniej stycznia 2024 roku i potrafi działać w trybie pasywnym poprzez specjalnie spreparowane pakiety ICMP lub DNS.

Google zdementował plotki o powszechnym zagrożeniu bezpieczeństwa kont Gmail. Mimo braku oficjalnego ostrzeżenia, istnieje realne ryzyko ataków phishingowych i vishingowych na dane Salesforce przechowywane w chmurze Google'a.

Google postanowił zakończyć możliwość pobierania aplikacji od niezweryfikowanych deweloperów na urządzenia z systemem Android, podążając za podejściem przyjętym przez Apple w celu zwiększenia bezpieczeństwa. Zmiana ta wpłynie na sposób instalowania aplikacji zewnętrznych oraz przyczyni się do zmniejszenia ryzyka związanego z oprogramowaniem złośliwym na platformie Android.

Ukraińska sieć FDN3 przeprowadzała w czerwcu i lipcu 2025 r. masywne kampanie ataków brute-force oraz password spraying na urządzenia SSL VPN i RDP. Badacze cyberbezpieczeństwa zidentyfikowali sieć FDN3 jako część szerszej infrastruktury nadużyć obejmującej także inne ukraińskie sieci oraz firmę z Seszeli. Ataki te mogą stanowić wektor ataku dla grup ransomware-as-a-service, takich jak Black Basta czy GLOBAL GROUP.

Badacze cyberbezpieczeństwa zidentyfikowali ukraińską sieć IP za angażowanie się w masowe kampanie brute-force i password spraying, skierowane na urządzenia SSL VPN i RDP między czerwcem i lipcem 2025 roku.

Atakujący znany jako Silver Fox wykorzystał podatny sterownik związany z oprogramowaniem antywirusowym WatchDog do ataku typu BYOVD. Celuje w rozbrojenie rozwiązań zabezpieczeń na kompromitowanych hostach poprzez wykorzystanie dwóch sterowników, amsdk.sys i WatchDog. Atak polega na zneutralizowaniu produktów ochrony końcowej, umożliwiając wdrożenie złośliwego oprogramowania ValleyRAT, zapewniającego zdalny dostęp do systemu.

Srebrna Lisica, znana jako Silver Fox, wykorzystuje podatny sterownik WatchDog Anti-malware, aby zainstalować złośliwe oprogramowanie ValleyRAT w ataku typu BYOVD. Kampania ma na celu wyłączenie rozwiązań bezpieczeństwa na zainfekowanych hostach, co umożliwia instalację i utrzymywanie oprogramowania malware bez wykrycia przez mechanizmy bazujące na sygnaturach. Ataki te są częścią skoordynowanej działalności cyberprzestępczej, której celem jest kradzież informacji, oszustwa finansowe i zdalne kontrolowanie systemów ofiar.

Wypadek naruszenia certyfikatów uwierzytelniających w Salesloft wywołał szereg reakcji w świecie korporacyjnym. Atakujący ukradli znaczną liczbę tokenów uwierzytelniających, co poskutkowało dostępem do danych z wielu usług online, m.in. Slack, Google Workspace, Amazon S3, Microsoft Azure i OpenAI. Również Google zauważył, że atak sięga znacznie dalej niż Salesforce, i ostrzega przed dodatkowymi zagrożeniami. Incydent ten wiąże się z szeroko zakrojoną kampanią inżynierii społecznej i grupą zagrożeń UNC6040.

Analiza nowego trendu w krajobrazie złośliwego oprogramowania na platformę Android, gdzie aplikacje typu dropper rozpowszechniające zwykle trojany bankowe, teraz również dystrybuują prostsze złośliwe oprogramowanie takie jak kradzieżniki SMS i podstawowe oprogramowanie szpiegujące.

Badacze cyberbezpieczeństwa zwracają uwagę na nową tendencję w krajobrazie złośliwego oprogramowania dla Androida, gdzie aplikacje typu dropper służą nie tylko do dostarczania trojanów bankowych, lecz także prostszych form złośliwego oprogramowania, takich jak kradzież SMS-ów i podstawowe oprogramowanie szpiegujące.

Nowa kampania cybernetyczna wykorzystuje podatne, ale zaufane sterowniki Windows do omijania zabezpieczeń i instalacji narzędzia zdalnego dostępu. Silver Fox APT grupa wykorzystała podpisanie przez Microsoft sterownika WatchDog Antimalware do zakończenia procesów związanych z programami antywirusowymi i narzędziami EDR, umożliwiając instalację modularnego backdoor ValleyRAT. Kampania ewoluowała, tworząc warianty używające nowych sterowników lub zmodyfikowanych wersji sterowników w celu uniknięcia wykrycia. Infrastruktura ataków została prześledzona do serwerów w Chinach, a konfiguracje złośliwego oprogramowania były ukierunkowane na popularne produkty bezpieczeństwa w Azji Wschodniej. Research CPR podkreślił konieczność ścisłego monitorowania aktywności sterowników oraz zaleca zastosowanie blokady sterowników ostatniej wersji Microsoftu, używanie reguł detekcji YARA i monitorowanie zachowań w celu wykrycia nietypowej aktywności sterownika.

Artykuł omawia rosnące zagrożenia cybernetyczne związane z przeglądarkami, przedstawiając działania grupy Scattered Spider oraz strategie zapobiegania zaawansowanym zagrożeniom z nim związanym. Autorzy zalecają CISOs rozważenie bezpieczeństwa przeglądarek jako centralnego filara obrony organizacji.

W artykule omówiono zagrożenia, jakie niesie za sobą Scattered Spider, zaawansowana grupa hakerska atakująca wrażliwe dane przeglądarek. Poruszono także strategie obronne przeciwko zaawansowanym zagrożeniom w przeglądarkach, takie jak ataki phishingowe, wykradanie sesji, złośliwe rozszerzenia czy rekonnaissance. Zaleca się wykorzystanie wielowarstwowej strategii bezpieczeństwa przeglądarek oraz integrację ochrony przeglądarek w obecną infrastrukturę bezpieczeństwa, aby wzmocnić całą sieć organizacyjną.

Amazon zidentyfikował i zablokował cyberatak typu watering hole przeprowadzony przez rosyjską grupę APT29, która próbowała wykorzystać błędy uwierzytelniania Microsoft. Atak miał na celu przekierowanie użytkowników na złośliwą infrastrukturę w celu dostarczenia złośliwego oprogramowania, kradzieży danych logowania lub szpiegostwa cybernetycznego.

WhatsApp załatał krytyczną zerodniową lukę, która została wykorzystana w zaawansowanym ataku. Wada dotyczyła nieprawidłowej autoryzacji wiadomości synchronizacji urządzeń powiązanych, mogącej pozwolić na wywołanie przetwarzania treści z dowolnego adresu URL na urządzeniu celu. Istnieje podejrzenie, że wspólnie z podatnością na poziomie systemu operacyjnego Apple, luka ta mogła zostać wykorzystana w zaawansowanym ataku przeciwko konkretnym użytkownikom. Incydent potwierdza ryzyko komercyjnych kampanii szpiegowskich, takich jak operacja Pegasus NSO Group, która już w przeszłości celowała w użytkowników WhatsApp. Znalezienie najnowszej luki jest częścią ciągłych wysiłków badawczych mających na celu odkrycie i zrozumienie zagrożeń cyberbezpieczeństwa.

Badacze cybersecurity odkryli nową kampanię phishingową przeprowadzoną przez grupę hakerską związaną z Koreą Północną, znaną jako ScarCruft (znana również jako APT37), w celu dostarczenia złośliwego oprogramowania znanego jako RokRAT. Ataki są skierowane na osoby związane z Narodowym Stowarzyszeniem Badań Wywiadowczych, w tym na środowiska akademickie, byłe osoby związane z rządem i badaczy.

Grupa badaczy odkryła nową kampanię phishingową przeprowadzaną przez grupę hakerską z Korei Północnej o nazwie ScarCruft (zwana też APT37) w celu dostarczenia złośliwego oprogramowania znaczonego jako RokRAT. Ataki, nazwane operacją HanKook Phantom, skierowane są na osoby związane z Narodowym Stowarzyszeniem Badań Wywiadowczych, w tym na postacie akademickie, byłych urzędników rządowych i badaczy. W kampanii wykorzystywane są techniki takie jak phishing z użyciem załączników w formacie LNK podszywających się pod dokumenty PDF oraz skrypty PowerShell do zrzucania złośliwego oprogramowania na zainfekowane hosty. RokRAT umożliwia zbieranie informacji systemowych, wykonywanie poleceń, przechodzenie po systemie plików, przechwytywanie zrzutów ekranu oraz pobieranie dodatkowych ładunków. Dane są wyciekane poprzez różne chmury danych. Additionally, the article touches upon new sanctions imposed by the U.S. Department of the Treasury on individuals and entities involved in North Korean remote IT work scheme, as well as investigations uncovering connections between a blockchain game and North Korean IT Workers.

Badacze cyberbezpieczeństwa zwracają uwagę na atak cybernetyczny, w którym nieznani sprawcy wykorzystali narzędzie do monitorowania końcowych punktów i analizy cyfrowej o nazwie Velociraptor w celu zainstalowania Visual Studio Code w celu tunelowania do własnego serwera C2. Atak ten pokazuje rosnące wykorzystanie legalnego oprogramowania do celów złośliwych.

Sformułowano nowe zagrożenia dotyczące cyberbezpieczeństwa, w których napastnicy wykorzystują narzędzie do monitorowania endpointów i analizy cyfrowej o nazwie Velociraptor do złośliwych celów. Zwolennicy Velociraptor wykorzystują Windows msiexec do pobierania instalatora MSI z domeny Cloudflare i wdrażania dodatkowych narzędzi, takich jak narzędzie tunelujące Cloudflare i narzędzie do zdalnej administracji o nazwie Radmin. Innym obiektem ataków jest Microsoft Teams, gdzie przestępcy wykorzystują platformę do inicjowania dostępu i dostarczania oprogramowania złośliwego, takiego jak narzędzia zdalnego dostępu AnyDesk czy Quick Assist, poprzez skomunikowane tenanty IT. Wszystkie te zagrożenia podkreślają pilną potrzebę monitorowania, reagowania i zabezpieczania systemów przed rosnącą liczbą ataków cybernetycznych.

Atak ransomware na dostawcę oprogramowania zagraża bezpieczeństwu danych pracowników w szwedzkich instytucjach publicznych i prywatnych firmach. Władze podejmują działania w odpowiedzi na naruszenie bezpieczeństwa, które generuje obawy co do wycieku danych osobowych i utraty kontroli nad informacjami. Całe zdarzenie zyskuje szerokie rozgłos, a minister obrony cywilnej Szwecji informuje o koordynowanej reakcji centrum cyberbezpieczeństwa kraju.

Porzucony serwer aktualizacji powiązany z oprogramowaniem edytora metody wprowadzania IME Sogou Zhuyin został wykorzystany przez cyberprzestępców w ramach kampanii szpiegowskiej, dostarczając szereg rodziny złośliwego oprogramowania, w tym C6DOOR i GTELAM, głównie atakując użytkowników w Azji Wschodniej. Badacze z Trend Micro stwierdzili, że atakujący wykorzystali złożone łańcuchy infekcji, takie jak porwane aktualizacje oprogramowania i fałszywe strony chmury lub logowania, aby rozpowszechniać złośliwe oprogramowanie i zbierać wrażliwe informacje. Kampania, zidentyfikowana w czerwcu 2025 roku, otrzymała kodową nazwę TAOTH i głównie skierowana jest przeciwko dysydentom, dziennikarzom, badaczom oraz liderom technologicznym/biznesowym w Chinach, Tajwanie, Hongkongu, Japonii, Korei Południowej i społecznościach tajwańskich za granicą.

Porzucony serwer aktualizacji związany z oprogramowaniem edytora metody wprowadzania Sogou Zhuyin został wykorzystany przez sprawców zagrożeń w ramach kampanii szpiegowskiej, która miała na celu dostarczenie kilku rodzin złośliwego oprogramowania w atakach głównie skierowanych na użytkowników z obszaru Azji Wschodniej.

Zagrożenie polegało na zainfekowaniu popularnej platformy Nx przez szkodliwe oprogramowanie kradnące dane i kryptowaluty, wykorzystujące sztuczną inteligencję. Atak został szybko zidentyfikowany, ale pozostawił ślad, niosąc ze sobą ryzyko wykrycia.

W pierwszej połowie 2025 roku ponad połowę (53%) wykorzystywanych wyjątków przypisano do działań państwowych hakerów dążących do celów strategicznych i geopolitycznych, co wynika z nowego raportu Insikt Group Recorded Future. Hakerzy państwowi, głównie chińscy, celowali głównie w infrastrukturę brzegową oraz rozwiązania dla przedsiębiorstw. Przewiduje się kontynuację ataków na bezpieczeństwo brzegowe oraz zwiększone wykorzystanie technik inicjalnego dostępu przez grupy ransomware w 2025 roku.

W artykule omówiono, w jaki sposób atakujący dostosowują się do mechanizmów ochrony macOS oraz przedstawiono sposoby wykrywania i zwalczania ataków na przykładach takich mechanizmów jak menedżer haseł Keychain, System Integrity Protection (SIP), Transparency, Consent and Control (TCC) oraz File Quarantine. Przedstawiono również konieczność użycia zaawansowanych rozwiązań zewnętrznych w celu osłabienia ataków na zaawansowane mechanizmy macOS.

Click Studios wypuściło aktualizację zabezpieczeń, aby naprawić luki w uwierzytelnianiu i ochronić przed atakami clickjacking. Aktualizacja obejmuje także poprawki w zabezpieczeniach przed atakami clickjacking na rozszerzeniach przeglądarki.

Firma Click Studios zaktualizowała oprogramowanie do zarządzania hasłami Passwordstate, naprawiając wysokie ryzyko podatności na pominięcie uwierzytelnienia. Wprowadzono również nowe zabezpieczenia przeciwko atakom typu clickjacking.

W ostatnim czasie odkryto kampanię cyberprzestępczą wykorzystującą triki malvertisingu, które kierują ofiary do oszukańczych stron w celu dostarczenia nowego kradzieżnika informacji o nazwie TamperedChef. Oprogramowanie to jest zaprojektowane do zbierania wrażliwych danych, takich jak poświadczenia i ciasteczka. Na kampanię tę składa się kilka fałszywych stron promujących instalator bezpłatnego edytora PDF, który po zainstalowaniu i uruchomieniu wyświetla prośbę o akceptację warunków korzystania z oprogramowania. Następnie, w tle, program setup wykonuje tajne żądania do zewnętrznego serwera w celu zainstalowania edytora PDF oraz ustawienia trwałości na hoście przy pomocy zmian w rejestrze systemowym Windows. Kampania rozpoczęła się 26 czerwca 2025 r. i była prowadzona przez co najmniej pięć różnych kampanii reklamowych Google. Odkryto, że oprogramowanie TamperedChef działa jak tylnie drzwi, zbierając informacje o zainstalowanych produktach zabezpieczających i próbując zakończyć działanie przeglądarek internetowych, aby uzyskać dostęp do wrażliwych danych.

Odkryto kampanię cyberprzestępczą wykorzystującą triki związane z malvertisingiem, które kierują ofiary na oszukańcze strony w celu dostarczenia nowego programu kradnącego informacje o nazwie TamperedChef. Oprogramowanie to ma na celu wykradanie wrażliwych danych, w tym danych logowania i ciasteczek przeglądarki.

Nowa fala ataków phishingowych wykorzystujących Microsoft Teams do dostarczania złośliwego oprogramowania została odkryta przez badaczy bezpieczeństwa. Atakujący tworzą fałszywe konta wsparcia IT, aby oszukać pracowników i zainstalować zdalne narzędzia dostępu, umożliwiając im bezpośrednią kontrolę nad systemami firmowymi.

Analiza ataku z użyciem złośliwych rozszerzeń VS Code, które wykorzystują pętlę w ponownym wykorzystywaniu nazw pakietów, oraz brak działań Microsoftu w tej sprawie.

Kluczowe pakiety w ekosystemie Nx zostały zhakowane, wykraczając poza GitHuba, chmurę i dane uwierzytelniające AI. Zaatakowane repozytoria były zarażone złośliwymi skryptami i wykradały poufne informacje. Atakujący wykorzystali błąd w systemie wstrzykując złośliwy kod poprzez tytuł PR, co groziło wykonaniem poleceń i kradzieżą tokena npm.

Atak supply chain na pakiet npm Nx spowodował ujawnienie danych uwierzytelniających użytkowników, wykorzystując złośliwe wersje oprogramowania do zbierania danych i przesyłania ich na platformy takie jak GitHub. Zaatakowane zostały 2,349 unikalne sekrety, a zidentyfikowane zagrożenie dotyczyło użytkowników systemów Linux i macOS. Cyberprzestępcy wykorzystali asystentów programistycznych opartych na sztucznej inteligencji do wykradania poufnych informacji z komputerów programistów, co stanowi nowatorskie naruszenie łańcucha dostaw.

Departament Skarbu USA nałożył sankcje na jednostki i osoby zaangażowane w schemat pracowników IT z Korei Północnej generujący dochody dla reżimu poprzez kryptowaluty i programy związane z bronią masowego rażenia. Sankcje czasowo rozszerzają zakres nałożonych na inną firmę w maju 2023 r. Przekazane środki, które wartość sięga prawie 600 tys. USD, są wynikiem działań Vitaliya Sergeevicha Andreyaeva i Kima Ung Sona. Firma chińska Shenyang Geumpungri to front dla Chinyong, generujący ponad milion zysku od 2021 r. Ogłoszenie sankcji miało miejsce miesiąc po ukaraniu firmy Korea Sobaeksu Trading Company i trzech osób zaangażowanych w schemat pracowników IT z Korei Północnej.

Departament Skarbu USA nałożył sankcje na dwie osoby i dwie jednostki za ich udział w koreańskim programie zdalnych pracowników informatycznych generujących nielegalne dochody na cele programów broni masowego rażenia i rakiet balistycznych reżimu. Sankcje zostały rozszerzone w związku z informacjami o licznych firmach IT zatrudniających pracowników IT do wykonywania pracy nadużywającej kryptowaluty oraz wprowadzania szkodliwego oprogramowania do sieci firm. Operacja oszustw zatrudnieniowych oparta jest na wykorzystaniu sztucznej inteligencji do tworzenia przekonujących profili zawodowych, dostosowywania CV do konkretnych opisów stanowisk oraz tworzenia rzeczywistej pracy technicznej.

Grupa ransomware oznaczona jako Storm-0501 zniszczyła dane i kopie zapasowe w ramach ataku ransomware w chmurze na platformie Azure. Przestępca wykorzystał różne techniki, włącznie z atakiem DCSync, aby zdobyć pełną kontrolę nad danymi ofiary. Microsoft udostępnił zalecenia, jak chronić się przed podobnymi atakami.

Storm-0501 to grupa atakująca zmotywowana finansowo, która wykorzystuje cyberprzestępczość do wykradania i usuwania danych z chmur Azure. Ich taktyka ewoluuje, a ataki są skierowane na różne sektory, z wykorzystaniem ransomware. Relacja zawiera szczegółowe opisy działań oraz zalecenia dla zapobiegania atakom.

Storm-0501 wykorzystuje nowoczesne techniki do eksfiltracji danych i szantażu przeciwko środowiskom chmurowym, realizując ataki ransomware hybrydowe na różne sektory przemysłu i instytucje, zmuszając organizacje do zapłacenia okupu za odzyskanie danych.

Firma ESET odkryła ransomware'a PromptLock, wykorzystującego sztuczną inteligencję i generującego złośliwe skrypty Lua w czasie rzeczywistym. Ransomware ten jest złożony z używaniem modelu gpt-oss:20b od OpenAI i powoduje zaszyfrowanie plików. Mimo być potwierdzonym koncepcyjnie, a nie w pełni funkcjonalnym, może prowadzić do kradzieży danych oraz zniszczenia ich. Pojawienie się takich zagrożeń jest efektem łatwiejszego wykorzystania sztucznej inteligencji przez cyberprzestępców, co komplikuje zadanie obrony przed nimi.

Cyberbezpieczności firma ESET odkryła szkodliwe oprogramowanie zwanego PromptLock, które wykorzystuje model AI gpt-oss:20b od OpenAI do generowania złośliwych skryptów Lua w czasie rzeczywistym. Ransomware ten ma zdolność do szyfrowania plików oraz potencjalnie do eksfiltrowania lub nawet zniszczenia danych.

Firma Anthropic ujawniła, że zdołała zakłócić zaawansowaną operację wykorzystującą swojego chatbota Claude opartego na sztucznej inteligencji do prowadzenia masowych kradzieży i wymuszeń danych osobowych w lipcu 2025 roku. Napastnik użył Clauda Code do automatyzacji różnych etapów ataku, m.in. rozpoznania, pozyskiwania poświadczeń i penetracji sieci. Wykorzystując AI, zaatakujący podejmował decyzje taktyczne i strategiczne oraz określał kwoty okupów w Bitcoinach, analizując dane finansowe ofiar.

Firma Anthropic ujawniła, że przełamała zaawansowaną operację wykorzystującą jej chatbota z SI do prowadzenia kradzieży i wymuszeń danych osobowych. Napastnik wykorzystał klipy tekstu Claude Code, aby automatyzować fazy cyklu ataku, w tym rozpoznanie, pozyskiwanie poświadczeń i penetrację sieci. Wykorzystując SI, zaatakowany zdołał podejmować decyzje o strategicznym znaczeniu i określać dane do wydobycia z sieci ofiar oraz ustalać kwoty okupu od 75 000 do 500 000 dolarów w Bitcoinie.

Atak cybernetyczny o nazwie ShadowSilk skierowany jest na 35 organizacji w Azji Środkowej i regionie Azji-Pacyfiku. Grupa wykorzystuje różne narzędzia i infrastrukturę, współpracując z innymi podmiotami, takimi jak YoroTrooper, SturgeonPhisher i Silent Lynx.

Grupa ShadowSilk przeprowadza ataki na organy rządowe w Azji Środkowej i regionie APAC, wykorzystując zaawansowane narzędzia i strategie. Jej działania obejmują kradzież danych, wykorzystywanie różnorodnych narzędzi, takich jak web-shelly, trojany i boty Telegram, oraz wykorzystywanie exploitów na platformy CMS. Istnieją podejrzenia dotyczące współpracy rosyjskojęzycznych i chińskojęzycznych członków grupy, co sprawia, że zagrożenie jest wieloregionalne i złożone.

Artykuł opisuje atak w postaci zatruwionego dokumentu, który wykorzystuje ukryte instrukcje dla ChatGPT, a następnie wykorzystuje je do manipulacji sztuczną inteligencją. Autor podkreśla brak skutecznych systemów obronnych przeciwko tego typu atakom, uważając problem za istotny i często bagatelizowany. Wskazuje na podatność sztucznej inteligencji pracującej w wymagającym środowisku. Zaproponowane są metody obrony, jednak problem pozostaje poważny.

Analiza luk w zabezpieczeniach oraz wykorzystywanych exploitów w sektorze cyberbezpieczeństwa w Q2 2025. Raport zawiera statystyki CVE, trendy w kierunku zwiększenia liczby zagrożeń, popularność exploitów w systemach Windows i Linux, oraz rankingi wykorzystywanych podatności w atakach APT. Przedstawiona jest również analiza najnowszych luk bezpieczeństwa w popularnych systemach i sposoby ich wykorzystania, a także zalecenia dotyczące zapewnienia bezpieczeństwa infrastruktury korporacyjnej.

Badacze cyberbezpieczeństwa odkryli pięć odrębnych klasterów działalności związanych z zagrożeniem Blind Eagle działającym między majem 2024 a lipcem 2025 roku, skoncentrowanych głównie na kolumbijskim rządzie oraz innych sektorach. Ataki obejmują wykorzystanie trojanów RAT, przynęt phishingowych i dynamicznych infrastruktur DNS.

Analiza działań grupy zagrożeń Blind Eagle ujawnia ataki na sektory rządowe i inne branże w Ameryce Południowej, szczególnie w Kolumbii. Wykorzystywane są zaawansowane techniki, takie jak phishing i malware, w operacjach finansowych i szpiegowskich.

Odkrycie PromptLock ukazuje, jak złośliwe wykorzystanie modeli AI może wzmocnić ransomware i inne zagrożenia cybernetyczne. Malware ten wykorzystuje model gpt-oss-20b z OpenAI do generowania złośliwych skryptów Lua w locie, aby zdolny do wykradania, szyfrowania i potencjalnie nawet niszczenia danych.

W sierpniu 2025 roku badacze Counter Threat Unit™ (CTU) zainstalowali narzędzie Velociraptor w celu rozwiązania incydentu, gdzie atakujący wykorzystali je do zdalnego dostępu. Umożliwiło to atakującym próbę stworzenia tunelu do kontrolowanego przez nich serwera C2. Incydent ten ujawnił nowe metody ataków wykorzystujące narzędzia do zwalczania incydentów, co implikuje potrzebę monitorowania i reagowania w celu zminimalizowania zagrożenia ransomware'em.

Złośliwe oprogramowanie MixShell, dostarczane poprzez formularze kontaktowe, atakuje kluczowe dla łańcucha dostaw firmy produkcyjne w USA. Atak polega na inicjowaniu kontaktu z pracownikami firm poprzez strony internetowe, co prowadzi do wysyłki zainfekowanych plików ZIP zawierających szkodliwe oprogramowanie. Kampania ZipLine jest dowodem na innowacyjne podejścia przestępców do przeprowadzania ataków z wykorzystaniem zaufanych kanałów komunikacji oraz technik socjotechnicznych.

Badacze cyberbezpieczeństwa alarmują przed zaawansowaną kampanią inżynierii społecznej, która celuje w krytyczne dla łańcucha dostaw przedsiębiorstwa produkcyjne. Ataki obejmują skomplikowany proces socjotechniczny, mający na celu zainfekowanie firm z sektora produkcji przemysłowej w USA, wykorzystując złośliwe oprogramowanie MixShell w plikach ZIP. Kampania skupia się na nawiązywaniu zaufanej komunikacji z celami poprzez formularze kontaktowe na stronach internetowych, a następnie wysyłaniu zakamuflowanego oprogramowania szantażującego, wykorzystując mechanizmy wykonania w pamięci i kanały komendy i kontroli opartej na DNS.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 skompromitowanych stron WordPress do przekierowywania odwiedzających na fałszywe strony weryfikacyjne CAPTCHA, aby dostarczyć kradzieże informacji, ransomware i koparki kryptowalut. Ataki wykorzystują taktykę ClickFix w celu wprowadzenia ofiar w błąd i instalacji złośliwego oprogramowania. Konieczne jest szkolenie użytkowników, segmentacja sieci i aktualizacja zabezpieczeń w celu zapobieżenia ryzykom związanym z ShadowCaptcha.

Nowa kampania cyberprzestępcza o nazwie ShadowCaptcha wykorzystuje ponad 100 zhackowanych stron WordPress do przekierowania odwiedzających na fałszywe strony weryfikacji CAPTCHA, w celu dostarczenia kradzieżników informacji, ransomware i koparek kryptowalutowych.

HOOK Android Trojan to nowa wersja trojana bankowego, który dodaje nakładki ransomware i poszerza funkcjonalności o 107 poleceń zdalnych. Wariant ten ukierunkowany jest na wyłudzanie okupów poprzez pełnoekranowe nakładki. Oprócz tego trojan ma zdolność do wysyłania SMS-ów, uruchamiania strumieni ekranu ofiary czy kradzieży danych z portfeli kryptowalutowych. Zimperium zauważa, że HOOK zaczął być szeroko rozpowszechniany poprzez phishing i fałszywe repozytoria na GitHubie.

Analiza odkrycia nowej wersji trojana bankowego HOOK na system Android, która dodaje nakładki typu ransomware oraz rozszerza się do 107 poleceń zdalnych, wraz z informacją o ewolucji innego trojana, Anatsa, oraz zagrożeniach ze strony różnych rodzin złośliwego oprogramowania.

Google wprowadza obowiązek weryfikacji tożsamości wszystkich deweloperów dystrybuujących aplikacje na Androida w celu zwiększenia bezpieczeństwa przed złośliwymi aplikacjami. Nowe wymogi mają zacząć obowiązywać od września 2026 roku w Brazylii, Indonezji, Singapurze oraz Tajlandii.

Google ogłosił plany weryfikacji tożsamości wszystkich deweloperów dystrybuujących aplikacje na Androida, nawet tych, którzy dystrybuują swoje oprogramowanie poza Sklepem Play. Nowe wymagania mają na celu zwiększenie bezpieczeństwa użytkowników poprzez eliminację złośliwych aplikacji oraz zapewnienie stałej odpowiedzialności deweloperów.

Artykuł dotyczy sposobu, w jaki atak ClickFix jest wykorzystywany do wprowadzania w błąd systemów sztucznej inteligencji, co skutkuje rozprzestrzenianiem się złośliwego oprogramowania. Konieczne jest zgłoszenie incydentu właścicielowi strony internetowej, w celu zwiększenia świadomości i działania w celu ochrony przed atakami cybernetycznymi.

Analiza ataku cybernetycznego przeprowadzanego przez UNC6384, chińską grupę zagrożeń, skierowanego przeciwko dyplomatom poprzez zaawansowane techniki inżynierii społecznej i stosowanie złośliwego oprogramowania PlugX.

Grupa zagrożeń UNC6384, związana z Chinami, przeprowadza ataki mające na celu dyplomatów w Azji Południowo-Wschodniej i inne podmioty na całym świecie, aby promować strategiczne interesy Pekinu. Atak polega na wykorzystaniu zaawansowanego inżynierii społecznej oraz certyfikatów kodu, implementacji w pamięci implantów PlugX oraz porwań portalu dostępu.

Analiza kampanii phishingowej, która wykorzystuje fałszywe wiadomości głosowe i zamówienia zakupu do dostarczania ładowacza malware o nazwie UpCrypter. Atak skupia się głównie na sektorach produkcyjnym, technologicznym, opieki zdrowotnej, budowlanym oraz handlu/hospitality, docierając do różnych krajów od początku sierpnia 2025 r., z największą liczbą infekcji w Austrii, Białorusi, Kanadzie, Egipcie, Indiach i Pakistanie. UpCrypter działa jako kanał dla różnych narzędzi zdalnego dostępu (RATs), takich jak PureHVNC RAT, DCRat i Babylon RAT, umożliwiając atakującemu pełną kontrolę nad skompromitowanymi hostami.

Nowa kampania phishingowa wykorzystuje sztuczki z fałszywymi wiadomościami głosowymi i zamówieniami zakupu do dostarczenia ładowacza oprogramowania zwanego UpCrypter. Atakujące sektory to m.in. produkcja, technologia, opieka zdrowotna, budownictwo oraz sektor handlowo-hotelarski. UpCrypter pełni rolę przewodnika dla różnych narzędzi zdalnego dostępu (RAT), umożliwiając cyberprzestępcom pełną kontrolę nad zainfekowanymi hostami.

Grupa APT Transparent Tribe, znana również jako APT36, kontynuuje zaawansowane ataki na systemy Windows i BOSS Linux, wykorzystując złośliwe pliki skrótów na pulpicie, aby zdobyć dostęp do infrastruktury rządowej. Ich ataki obejmują phishing, instalację payloadów i mechanizmy utrzymujące wytrwałe dostanie do systemów.

Grupa APT36, znana jako Transparent Tribe, zaatakowała systemy Windows i BOSS Linux rządowych instytucji indyjskich za pomocą złośliwych skrótów do pulpitu. Ataki rozpoczynają się od phishingu, a malware umożliwia zdalną kontrolę, zbieranie danych i przechwytywanie poświadczeń.

Odkryty złośliwy moduł Go udaje narzędzie do ataków typu brute-force na protokole SSH, ale w rzeczywistości służy do dyskretnego wyciekania danych logowania do twórcy. Moduł ten skanuje losowe adresy IPv4 w poszukiwaniu usług SSH na porcie TCP 22, następnie próbuje przeprowadzić atak brute-force, kradnąc udane dane logowania. Dodatkowo wyłącza weryfikację klucza hosta, umożliwiając akceptowanie połączeń SSH z dowolnego serwera, niezależnie od jego tożsamości.

Odkryto złośliwy moduł w języku Go udający narzędzie do ataków brute-force SSH, które w rzeczywistości przesyła poufnie skradzione dane logowania do swojego twórcy za pomocą bota Telegram. Moduł ten działa poprzez skanowanie losowych adresów IPv4 w poszukiwaniu narażonych usług SSH na porcie TCP 22 oraz próbuje odgadnąć hasła, przesyłając udane dane do atakującego. Dodatkowo, oprogramowanie wyłącza weryfikację klucza hosta SSH, co umożliwia przyjmowanie połączeń z dowolnego serwera bez względu na jego tożsamość.

W artykule zaprezentowano kampanie wykorzystujące znane podatności bezpieczeństwa oraz narażone serwery Redis do działań takich jak tworzenie botnetów IoT czy kopanie kryptowalut. Ataki obejmują wykorzystanie krytycznej luki CVE-2024-36401 w OSGeo GeoServer GeoTools, ewolucję botnetu PolarEdge oraz kampanię gayfemboy. Przestępcy stosują coraz bardziej wyszukane metody generowania dochodu na skutek złamanych systemów, wymagając przy tym proaktywnej obrony ze strony specjalistów cyberbezpieczeństwa.

Analiza nowych kampanii cyberprzestępczych wykorzystujących luki w zabezpieczeniach GeoServera, infrastrukturę PolarEdge oraz botnet gayfemboy. Atakujący skupiają się na stealthy, długoterminowej monetyzacji oraz wykazują coraz większą złożoność, wymagającą reakcji opartej na inteligencji oraz proaktywności.

Blog pisał krótko o kałamarnicy brodawkowatej. Można także wykorzystać ten wpis o kałamarnicy do omówienia aktualnych historii dotyczących bezpieczeństwa, o których nie wspomniano. Polityka moderacji bloga.

Nowy atak wykorzystujący phishingowy email do dostarczenia otwartego backdooru VShell podczas infekcji Linux-specific malware za pomocą złośliwego pliku RAR. Atak wykorzystuje iniekcję polecenia powłoki, Base64-zakodowane ładunki Bash oraz manipulację z nazwami plików. Malware VShell umożliwia zdalną kontrolę nad systemem i unika wykrycia związanego z dyskiem, potrafi również atakować szeroki zakres urządzeń z systemem Linux.

Nowa technika ataku na systemy Linux poprzez zainfekowane pliki RAR zawierające złośliwe nazwy. Wykorzystuje ona iniekcję komend w powłokach systemowych oraz kodowanie Base64 do automatycznego wywołania złośliwego oprogramowania. Atak umożliwia przekazywanie szkodliwego oprogramowania bez wykrycia przez tradycyjne mechanizmy antywirusowe, wykorzystując lukę w przetwarzaniu nazw plików.

Fachowa analiza działań grup hakerskich chińskiego pochodzenia, Murky Panda, Genesis Panda i Glacial Panda, które wykorzystują lukę w chmurze, aby przełamać sieci korporacyjne. Atakują one sektory rządowe, technologiczne, akademickie, prawne oraz usługi profesjonalne w Ameryce Północnej. Działania te cechują się wysokim stopniem zaawansowania technologicznego oraz skomplikowaną propagacją, z wykorzystaniem dostawców usług IT i słabych zabezpieczeń w sektorze telekomunikacyjnym.

W artykule omówiono działalność trzech chińskich grup hakerskich: Murky Panda, Genesis Panda i Glacial Panda, które przeprowadzają skomplikowane ataki z wykorzystaniem luk w chmurze oraz branży telekomunikacyjnej. Zwracają uwagę na wykorzystywanie zerodniowych podatności, dostęp do systemów poprzez urządzenia internetowe oraz ataki na łańcuchy dostaw IT.

Analiza współczesnych zagrożeń dla bezpieczeństwa nowoczesnych pojazdów, z uwzględnieniem kategorii pojazdów i zmian architektonicznych wprowadzonych przez producentów w odpowiedzi na potencjalne ataki cybernetyczne. Omówienie zagrożeń dla pojazdów starszych, przejściowych i nowoczesnych, oraz wskazanie na rosnące zapotrzebowanie na testowanie penetracyjne i zabezpieczenia cybernetyczne w sektorze motoryzacyjnym.

55-letni obywatel chiński został skazany na cztery lata więzienia za sabotaż sieci swojego byłego pracodawcy za pomocą specjalnego złośliwego oprogramowania i wprowadzenie wyłącznika, który zablokował pracowników po wyłączeniu jego konta.

55-letni obywatel chiński został skazany na cztery lata więzienia za sabotażowanie sieci swojego byłego pracodawcy przy użyciu specjalnego oprogramowania oraz wdrożenie przełącznika, który uniemożliwił pracownikom dostęp po dezaktywacji jego konta. Mężczyzna został uznany winnym celowego uszkodzenia chronionych komputerów i spowodowania strat finansowych dla amerykańskiej firmy. Sąd wykazał, że jego działania kosztowały przedsiębiorstwo setki tysięcy dolarów. Sprawa ta podkreśla także istotę wcześniejszego rozpoznawania zagrożeń wewnętrznych w firmach.

AT&T oferuje trzy nowe promocje związane z nową serią smartfonów Google Pixel 10. Mozliwe jest otrzymanie za darmo telefonów Pixel 10 Pro lub Pixel 10 Pro XL w zamian za określony telefon o wartości wymiany minimalnej $35. Dodatkowo po skorzystaniu z tej oferty istnieje możliwość zakupu 128GB modelu Pixel 10 za jedyne $7.99 miesięcznie przez 36 miesięcy. Przy zakupie smartfona z serii Pixel 10 otrzymasz również darmowy smartwatch Pixel Watch 3 oraz 50% zniżki na wybrane akcesoria Google Pixel. Seria Pixel 10 ma ulepszenia w porównaniu z poprzednimi modelami, wprowadzając nowe funkcje AI, takie jak Camera Coach i Magic Cure. Promocja zdobyła ocenę 5/5 według ZDNET i obowiązuje do 8 stycznia 2026 roku.

Doświadczony specjalista opisuje swoje ulubione darmowe aplikacje dla systemu Windows, które poprawiają bezpieczeństwo, wydajność i doświadczenie użytkownika. Znajdziesz tutaj rekomendacje dotyczące przeglądarki internetowej, odtwarzacza multimedialnego, narzędzia do przechwytywania ekranu, alternatywnego pakietu biurowego i aplikacji do organizacji zadań, wraz z uzasadnieniem ich wyboru.

Analiza ataku cyberprzestępców wykorzystujących taktykę ClickFix do implementacji wszechstronnego backdooru o nazwie kodowej CORNFLAKE.V3 oraz fałszywych stron CAPTCHA jako przynęt. Atak rozpoczyna się przez wysyłanie użytkowników na zainfekowane strony internetowe, gdzie kopiują złośliwy skrypt PowerShell i wykonują go poprzez okno dialogowe Windows Run. Działania grup UNC5518 służą dostępowi systemowemu dla innych grup zagrożeń, umożliwiając im etapowe zainfekowanie oraz dostarczanie dodatkowych ładunków. Wprowadzenie backdooru CORNFLAKE.V3 umożliwia wykonanie różnorodnych plików źródłowych oraz zbieranie informacji o systemie, przesyłanych poprzez tunelową komunikację za pośrednictwem Cloudflare w celu uniknięcia wykrycia. Organizacje zaleca się wyłączenie okna dialogowego Windows Run, przeprowadzanie regularnych ćwiczeń symulacyjnych oraz stosowanie ścisłego monitoringu w celu wykrycia i przeciwdziałania złośliwym akcjom.

Cyberprzestępcy wykorzystują taktykę socjotechniczną ClickFix, aby zainstalować backdoor o nazwie CORNFLAKE.V3, wykorzystując fałszywe strony CAPTCHA do oszukania użytkowników w udostępnienie dostępu do swoich systemów. Atak ten obejmuje kilka etapów, w których wykorzystywana jest zaktualizowana wersja backdooru CORNFLAKE.V3, umożliwiająca wykonywanie różnych rodzajów payloadów i zbieranie informacji systemowych. Zaleca się przedsiębiorstwom m.in. wyłączenie okna dialogowego Run w Windowsie oraz przeprowadzanie regularnych ćwiczeń symulacyjnych w celu zwalczania tego typu ataków z wykorzystaniem socjotechniki.

Rosyjska grupa szpiegowska Static Tundra atakuje urządzenia sieciowe z flagowymi wadami Cisco. FBI i Cisco Talos ostrzegają o wykorzystaniu luki CVE-2018-0171, zalecając natychmiastowe łatanie lub dezaktywację funkcji Smart Install.

22-letni mężczyzna z Oregonu został oskarżony o zarządzanie botnetem Rapper Bot do ataków DDoS na zlecenie, który rzekomo został wykorzystany do przeprowadzenia ataków na wieloterabitową skalę w ponad 80 krajach. Sprawa ta ujawnia poważne zagrożenia wynikające z działalności cyberprzestępczej oraz wysiłki podjęte przez organy ścigania w celu zwalczania takich zagrożeń.

W raporcie Blue 2025 znaleziono, że próby złamania haseł odniosły sukces w 46% testowanych środowisk, podwajając wynik z poprzedniego roku. Organizacje nadal borykają się z problemem zapobiegania atakom na hasła i wykrywania złośliwego użycia skompromitowanych kont. Istnieje pilna potrzeba skoncentrowania się na zagrożeniach, które omijają obronę organizacji, przez egzekwowanie silnych polityk dotyczących haseł i wdrażanie autoryzacji wieloczynnikowej dla wszystkich użytkowników.

Raport Blue 2025 firmy Picus Security ukazuje, że organizacje wciąż borykają się z atakami na hasła oraz z wykrywaniem złośliwego wykorzystania skompromitowanych kont w cyberprzestrzeni. Brak skutecznych polityk haseł, brak wdrożenia autoryzacji wieloskładnikowej i niedostateczna walidacja obrony przeciwko atakom to główne wyzwania, z jakimi muszą zmierzyć się firmy, aby zabezpieczyć swoje systemy przed atakami na hasła.

Badacze cyberbezpieczeństwa ujawnili szczegóły nowego ładującego malware'a o nazwie QuirkyLoader, który od listopada 2024 roku jest wykorzystywany w kampaniach spamu e-mailowego do dostarczania różnorodnych złośliwych ładunków, takich jak Agent Tesla, AsyncRAT czy Snake Keylogger.

Nowe złośliwe oprogramowanie QuirkyLoader jest używane przez hakerów od listopada 2024 r. do rozpowszechniania szeregu groźnych dodatków, takich jak Agent Tesla, AsyncRAT czy Snake Keylogger. Ataki polegają na wysyłaniu spamu z zainfekowanymi załącznikami, które po uruchomieniu ładowane są do procesów AddInProcess32.exe, InstallUtil.exe lub aspnet_wp.exe.

Wprowadzono nową metodę inżynierii społecznej - PromptFix, która wykorzystuje technikę wstrzykiwania komunikatu, aby oszukać agencjalną sztuczną inteligencję i zmusić ją do podejmowania szkodliwych działań. Atak polega na przekazywaniu fałszywych instrukcji AI, co może prowadzić do pobierania złośliwego oprogramowania na urządzenia użytkowników.

Wybór najlepszego 15-calowego laptopa w 2025 roku to MacBook Air M4 Apple. Dla osób poszukujących laptopa z ograniczonym budżetem, poleca się Acer Aspire Go 15. Przedstawione są również inne polecane opcje, takie jak Lenovo Yoga Slim 7i Aura Edition, Asus Vivobook S 15, Microsoft Surface Laptop i Samsung Galaxy Chromebook Plus. Artykuł podkreśla istotne czynniki przy wyborze laptopa, takie jak wielkość ekranu, wydajność, czy cena. Zawiera również informacje o konkretnych specyfikacjach technicznych oraz wskazówki, dla kogo dany laptop może być odpowiedni. Autor zachęca do rozważenia indywidualnych potrzeb i preferencji przy wyborze sprzętu oraz do zapoznania się z przewodnikiem dotyczącym optymalizacji wydajności urządzenia.

W artykule omówiono istotność używania przełącznika "-n" w linii poleceń przy przetwarzaniu danych sieciowych oraz logów w celu uniknięcia potencjalnych zagrożeń związanych z rozpoznaniem działań dochodzeniowych lub zidentyfikowaniem kontrolera złośliwego oprogramowania.

Badacze bezpieczeństwa z Barracuda Networks odkryli innowacyjne techniki phishingu przy użyciu kodów QR, dzięki którym oszuści mogą unikać wykrycia. Ataki te, zwane 'Quishing', polegają na dzieleniu złośliwych kodów QR na dwie części lub osadzaniu ich w autentycznych kodach. Zaleca się stosowanie zaawansowanych rozwiązań z dziedziny sztucznej inteligencji, aby skutecznie bronić się przed rosnącym zagrożeniem.

Artykuł przedstawia opinię ZDNET dotyczącą VPN-ów, a także testy, porównania i rekomendacje najlepszych VPN-ów dla użytkowników Chrome, takich jak ExpressVPN, Surfshark, Windscribe, NordVPN i Proton VPN. Zawiera także porady dotyczące korzystania z VPN-ów, ich różnicę w stosunku do trybu incognito, oraz informacje dotyczące pobierania i instalacji rozszerzeń VPN. Podkreśla znaczenie bezpieczeństwa online oraz zachęca do korzystania z pełnych funkcji VPN-ów. Daje wskazówki, które VPN-y wybrać w zależności od potrzeb użytkownika i porównuje je pod względem cen i funkcji.

Analiza wykazuje wzrost skanowań mających na celu zidentyfikowanie instancji Elasticsearch, popularnego narzędzia do przechowywania logów. Atakujący poszukują niewłaściwie zabezpieczonych instancji, co może prowadzić do ujawnienia informacji. Nowe zapytanie /_cluster/settings/ wskazuje na potencjalne próby wykorzystania Elasticsearch. Warto zabezpieczyć instancje i monitorować skany w celu zapobieżenia potencjalnym atakom cybernetycznym.

ZDNET poleca: Co to dokładnie oznacza? Zalecenia ZDNET-a opierają się na wielu godzinach testów, badań i porównywania. Artykuł omawia najlepsze VPN-y do użytku z Apple TV, takie jak NordVPN, ExpressVPN, Surfshark, Proton VPN i IPVanish, podając konkretne informacje o każdym z nich. Przedstawione są zalety, ceny, kompatybilność, liczba jednoczesnych połączeń oraz inne istotne cechy charakteryzujące każde z rozważanych rozwiązań.

Firma Red Canary wykryła atakującego wykorzystującego lukę w zabezpieczeniach CVE-2023-46604 w Apache ActiveMQ do uzyskania stałego dostępu do chmury systemów Linux. DripDropper, po przedostaniu się, łata tę lukę, uniemożliwiając innym złośliwym programom dostęp i maskując swoją obecność. Jest to obecnie trudny do wykrycia atak wykorzystujący zaawansowane techniki, takie jak zmiana konfiguracji SSH, w celu uzyskania pełnej kontroli nad systemem ofiary.

W ataku zauważono przypadki, gdzie cyberprzestępcy modyfikują podatności po uzyskaniu dostępu, a następnie wykorzystują je do zablokowania konkurencji. Zastosowanie takiej strategii ma na celu zapewnienie wyłącznego dostępu oraz zmniejszenie ryzyka wykrycia przez obronę.