CyberCafe - Aktualności Cyberbezpieczeństwa

Salty2FA to nowe narzędzie, które podnosi poziom zagrożenia przez phishing w środowiskach korporacyjnych. Atakujący mogą wykorzystać tę technikę do złamania zabezpieczeń, co stanowi wyzwanie dla przedsiębiorstw w dziedzinie cyberbezpieczeństwa.

Atakujący przypadkiem odsłania swoje sposoby działania i codzienne aktywności po zainstalowaniu oprogramowania zabezpieczającego Huntress na własnej maszynie operacyjnej. Incydent ten dał analitykom niezwykłe spojrzenie na to, jak atakujący korzystają z sztucznej inteligencji, narzędzi badawczych i automatyzacji do doskonalenia swoich działań. Przez trzy miesiące Huntress obserwował atakującego testującego wiele narzędzi bezpieczeństwa, korzystającego z platform automatyzacji pracy, takich jak Make.com, oraz badającego interfejsy API Botów Telegram w celu usprawnienia operacji. Odkryte dane ujawniły zainteresowanie generowaniem tekstów i arkuszy kalkulacyjnych z wykorzystaniem sztucznej inteligencji do tworzenia wiadomości phishingowych i zarządzania skradzionymi informacjami.

Atorzy zagrożeń wykorzystują narzędzie Axios i funkcję Direct Send firmy Microsoft do wykonywania skutecznych ataków phishingowych na platformę Microsoft 365. Kampanie phishingowe wykorzystujące te narzędzia zyskują przewagę nad tradycyjnymi mechanizmami obronnymi, umożliwiając cyberprzestępcom kradzież poświadczeń w sposób skalowalny i precyzyjny.

W ostatnich kampaniach phishingowych zauważono wykorzystanie narzędzi HTTP takich jak Axios w połączeniu z funkcją Direct Send firmy Microsoft, co tworzy 'bardzo efektywny potok ataków'. Atakujący starają się wykorzystać Axios do brania nad bezpieczeństwa, a także do przechwytują sesje i uzyskiwania kodów uwierzytelniania wieloetapowego. Ataki phishingowe rozwijają się w kierunku zaawansowanych operacji na poziomie przedsiębiorstwa, wykorzystując zaawansowane taktyki unikania wykrycia i wiarygodne symulacje MFA, aby ersus ja odróżnić od prawdziwej aktywności.

Nowy atak na łańcuch dostaw cyfrowych skierowany był na popularne otwarte paczki npm z co najmniej dwiema miliardami tygodniowych pobrań. Atak wykorzystał zaawansowany phishing, który spowodował skompromitowanie kilkunastu paczek npm i skierowanie funduszy na konta kontrolowane przez atakujących.

Salty2FA Phishing Kit to zaawansowane narzędzie wykorzystywane w kampanii phishingowej, które wykorzystuje innowacyjne techniki, takie jak rotacja subdomen oparta na sesji, nadużycie platform legitmacyjnych do wystawiania przynęt phishingowych oraz replikacja marki firmowej na stronach logowania. Cyberprzestępcy wykorzystują również różne taktyki unikania wykrycia, co sprawia, że śledzenie działań takiej kampanii staje się trudne. Eksperci zalecają zwiększoną świadomość użytkowników oraz aktualizację strategii obronnych.

Ekspert cyberbezpieczeństwa ostrzega przed nagłym wzrostem aktywności phishingowej z wykorzystaniem Axios User Agent i funkcji Direct Send firmy Microsoft. Ataki oparte na Axios cechują się wyjątkowym sukcesem i są trudne do wykrycia, co sprawia, że stanowią poważne zagrożenie dla organizacji.

Chińscy sprawcy podszywający się pod przedstawiciela Moolenaar-a próbowali pozyskać tajne informacje w trakcie rozmów handlowych USA-Chiny. Oszuści wykorzystywali pliki i linki do uzyskania dostępu do systemów ofiar, aby wpłynąć na politykę i strategie negocjacji USA oraz zdobyć przewagę handlową i polityczną.

Nowe kampanie malware wykorzystujące zaawansowane techniki unikania wykrycia i socjotechniki podnoszą ryzyko związane z phishingiem i AI. Malware takie jak MostereRAT i MetaStealer atakują użytkowników japońskich, wykorzystując złośliwe wiadomości e-mail, fałszywe instalatory programów i manipulacje interfejsem użytkownika w celu omijania rozwiązań bezpieczeństwa.

Badacze cyberbezpieczeństwa odkryli szczegóły kampanii phishingowej, która wykorzystuje nowy malware MostereRAT, przekształcony z bankowego na trojana zdalnego dostępu. Z kolei inna kampania wykorzystuje techniki ClickFix do dystrybucji informacyjnego kradzieżyusu MetaStealer. Natomiast CloudSEK opisało nowatorskie dostosowanie taktyki ClickFix, wykorzystującej niewidzialne komunikaty poprzez obfuskację z użyciem CSS, aby zwiększyć ryzyko wykorzystania przez AI i produkować podsumowania z kontrolowanymi instrukcjami ClickFix od atakujących.

Odkryto nowy wariant kampanii wykorzystującej sieć TOR do ataków cryptojackingowych, celujących w narażone interfejsy Docker. Atak polega na wykorzystaniu Docker API, montowaniu systemu plików hosta w nowym kontenerze i wykonywaniu skryptów z domeny .onion.

Odkryto wariant niedawno ujawnionej kampanii, która wykorzystuje sieć TOR do ataków cryptojackingowych skierowanych na narażone interfejsy API Docker. Atak polega na infiltrowaniu źle skonfigurowanych interfejsów API Docker, instalowaniu kryptowalutowego kopacza XMRig i tworzeniu botnetu. Ponadto, aktywność obejmuje ataki Telnet i związane z portem 9222 w celu rozprzestrzeniania się i przeprowadzania kradzieży danych.

W wyniku ataku łańcucha dostaw oprogramowania wiele pakietów npm zostało skompromitowanych po zdobyciu dostępu do konta utrzymującego poprzez atak phishingowy. Sprawca, przedstawiając się jako npm, nakłonił użytkownika do podania swoich danych uwierzytelniających, co spowodowało opublikowanie złośliwej wersji pakietów. Malware wstrzyknięty do kodu źródłowego miał na celu kradzież kryptowalut poprzez manipulację zapytaniami. Incydent ten uwydatnia potrzebę zwiększenia czujności i zabezpieczenia łańcuchów dostaw.

Podczas cyberataków na 20 popularnych pakietów npm pojawiają się ryzyka dla użytkowników związane z kradzieżą kryptowalut. Incydent ten podkreśla potrzebę zwiększenia świadomości i zabezpieczenia ciągłej integracji/dostarczania ciągłego oraz kontroli zależności.

Firma fintech Wealthsimple potwierdziła naruszenie danych dotyczące wycieku informacji poufnych klientów. Atak został wykryty 30 sierpnia i spowodowany został skompromitowanym oprogramowaniem dostarczonym przez zewnętrznego dostawcę.

Nowy rodzaj malware MostereRAT skierowany jest na użytkowników systemów Windows i umożliwia atakującym pełną kontrolę nad skompromitowanymi urządzeniami. Kampania phishingowa charakteryzuje się zaawansowanymi technikami unikania wykrycia oraz kreatywnym wykorzystaniem języka kodowania chińskiego.

W artykule omówiono technikę wykorzystującą infiltrację poprzez proces wdrażania nowych pracowników w celu zagrożenia bezpieczeństwa organizacji. Dowiedz się, jak niebezpieczne mogą być praktyki związane z zdalnym rekrutowaniem i dlaczego konieczne jest wprowadzenie zerowych uprawnień stałych (ZSP).

W artykule poruszona została kwestia infiltracji za pomocą zatrudnienia, zamiast tradycyjnego phishingu, w kontekście wzrostu zagrożenia związanego z zatrudnianiem pracowników na odległość. Wskazano na konieczność zastosowania podejścia Zero Standing Privileges (ZSP), aby zabezpieczyć organizację.

Grupa Noisy Bear, możliwie pochodzenia rosyjskiego, zidentyfikowana jako odpowiedzialna za ataki na sektor energetyczny Kazachstanu poprzez kampanię phishingową BarrelFire. Ataki te wykorzystują fałszywe dokumenty i zaawansowane techniki, a infrastruktura sprawcy jest hostowana w Rosji. Raporty wskazują także na aktywność innych zagrożeń cybernetycznych skierowanych na Rosję, Polskę i innych krajach.

Grupa zagrożeń Noisy Bear, prawdopodobnie pochodzenia rosyjskiego, przeprowadza ataki na sektor energetyczny w Kazachstanie, wykorzystując kampanię phishingową BarrelFire. Atak polega na wysyłaniu fałszywych dokumentów związanych z departamentem IT KazMunaiGas, zainfekowanych szkodliwym oprogramowaniem. Badacze zidentyfikowali infrastrukturę ataków i ujawnili związki ze sferą cyberbezpieczeństwa innych krajów, takich jak Ukraina, Polska i Rosja.

Grupa TAG-150, odpowiedzialna za ramy złośliwego oprogramowania jako usługi (MaaS) i narzędzie CastleLoader, stworzyła także trojana zdalnego dostępu znany jako CastleRAT. Złośliwe programy te są wykorzystywane jako wektory dostępu do szerokiej gamy dodatkowych ładunków, w tym trojanów zdalnego dostępu i kradzieży informacji. Nowo odkryty CastleRAT pozwala na pobieranie kolejnych ładunków, udostępnia zdolności zdalnego powłoki i potrafi samodzielnie się usunąć.

Analiza operacji złośliwego oprogramowania CastleLoader oraz nowo odkrytego trojana zdalnego dostępu CastleRAT przeprowadzona przez zespół Recorded Future Insikt Group. Odkrycie obejmuje funkcjonalności, takie jak zbieranie informacji systemowych, pobieranie i wykonywanie dodatkowych obciążeń oraz wykonywanie poleceń za pomocą CMD i PowerShell. Dodatkowe informacje dotyczą różnych wariantów i funkcji malwersów, takich jak DeerStealer, RedLine, StealC czy NetSupport RAT, a także techniki wywoływania zakażeń poprzez phishing i repozytoria GitHub.

W II kwartale 2025 r. ataki mobilne z udziałem złośliwego oprogramowania, adware'u i niechcianego oprogramowania spadły do wartości 10,71 miliona. Odkryto nową złośliwą aplikację SparkKitty kradnącą obrazy z galerii na Androida i iOS. Warto zauważyć Trojana-DDoS.AndroidOS.Agent.a, który umożliwia ataki DDoS z urządzeń mobilnych. Liczba próbek złośliwego oprogramowania na Androida i potencjalnie niechcianego oprogramowania zmniejszyła się w porównaniu do poprzedniego kwartału. Bankowe trojany pozostają w pierwszej kolejności, z rodzina Mamont dominującą tę kategorię.

Nowa kampania malware'u wykorzystująca pliki SVG w atakach phishingowych na system sądownictwa Kolumbii. Oceana plików SVG rozpowszechniana drogą mailową, wykonująca skrypt JavaScript w celu zainfekowania strony HTML podszywającej się pod portal urzędu Prokuratora Generalnego Kolumbii. Odkrycie 44 unikalnych plików SVG, które uniknęły wykrycia przez silniki antywirusowe, wskutek zastosowania obfuskacji i innych technik. Dodatkowo opisano infekcję macOS przez Atomic macOS Stealer i wprowadzenie nowych metod instalacji omijających Gatekeeper macOS.

Badacze cyberbezpieczeństwa odkryli nową kampanię malware, wykorzystującą pliki Scalable Vector Graphics (SVG) w atakach phishingowych udająccych kolumbijski system sądowy. Pliki te rozsyłane są za pomocą e-maili i zawierają złośliwe skrypty JavaScript, dekodujące i wstrzykujące zakodowaną w Base64 stronę phishingową udającą portal Fiscalía General de la Nación. Zarówno użytkownicy jak i firmy narażone są na kradzież danych, kradzież finansową i inne ataki pochodne.

Badanie eksperckie ujawniło, że północnokoreańscy hakerzy próbują wykorzystać platformy inteligencji zagrożeń do ataków phishingowych. Grupa działa koordynowanie, demonstrując wytrwałość i skupiając się na szybkiej reakcji na ewentualne wycieki. Alertuje się zarówno poszukujących pracy, jak i dostawców infrastruktury na niebezpieczeństwo.

Analiza wykazała, że strona wykorzystuje usługę bezpieczeństwa do ochrony się przed atakami internetowymi. Istnieje kilka działań, które mogą spowodować zablokowanie dostępu, w tym wprowadzenie określonego słowa lub frazy, polecenia SQL lub zniekształconych danych. Użytkownicy są zachęcani do kontaktu z właścicielem strony w celu odblokowania dostępu, podając informacje dotyczące działań podejmowanych podczas blokady oraz identyfikator Ray ID Cloudflare.

Artykuł omawia trudności z wprowadzeniem passkeyów jako nowej formy sprawdzania tożsamości w świecie cyberbezpieczeństwa. Autor dzieli się doświadczeniem z próby stosowania passkeyów i analizuje różnice między nimi a tradycyjnymi hasłami oraz wyzwania związane z ich implementacją na różnych platformach.

W styczniu 2025 roku eksperci w dziedzinie cyberbezpieczeństwa z Wiz Research odkryli przypadkowy wyciek danych u chińskiego specjalisty AI, DeepSeek, narażając ponad milion wrażliwych strumieni logów. Artykuł omawia różne rodzaje wycieków danych, zarówno celowe, jak i nieumyślne, oraz podkreśla konieczność ochrony przed nimi.

W styczniu 2025 roku eksperci ds. cyberbezpieczeństwa z Wiz Research odkryli wyciek danych u specjalisty od sztucznej inteligencji DeepSeek z Chin, narażając ponad milion wrażliwych strumieni logów na ryzyko. Wyciek danych może być niezamierzony lub celowy, a jego konsekwencje mogą być katastrofalne dla organizacji, włącznie z dużymi karami finansowymi i stratą reputacji.

Artykuł przedstawia badania dotyczące praktycznych ataków na asystentów LLM. Przestępczość cybernetyczna polegająca na wstrzykiwaniu poleceń stwarza zagrożenia dla bezpieczeństwa użytkowników. Autorzy proponują ramy analizy zagrożeń i oceny ryzyka oraz przedstawiają nowy wariant ataków, wykorzystujący pośrednie wstrzykiwanie poleceń poprzez interakcje użytkownika, takie jak e-maile, zaproszenia kalendarzowe i udostępnione dokumenty. Nasze badania wskazują, że 73% analizowanych zagrożeń stanowi wysokie krytyczne ryzyko dla użytkowników. Omawiamy sposoby łagodzenia ryzyka oraz wykazujemy, że ryzyko można znacząco obniżyć do bardzo niskiego-średniego po wdrożeniu środków zaradczych. Przekazaliśmy nasze wnioski Google, które wdrożyło dedykowane środki zaradcze.

Iranijczycy przeprowadzili koordynowaną kampanię spear-phishingu, wykorzystując fałszywe maile dyplomatyczne, aby infiltrować ambasady i konsulaty na całym świecie. Atak skupiał się głównie na Europie i Afryce, a wykorzystana technika polegała na przekonaniu odbiorców do uruchomienia złośliwego macro w dokumencie Worda, co pozwalało na zainfekowanie systemu malwarem.

Zespół badawczy firmy Barracuda ostrzega, że phishingowy zestaw Tycoon wykorzystuje nowe techniki do ukrywania szkodliwych linków w atakach emailowych. Rozwój Tycoona odpowiada na coraz lepsze zdolności narzędzi bezpieczeństwa emaili w wykrywaniu i blokowaniu niebezpiecznych linków, co wymusza na cyberprzestępcach ciągłe doskonalenie technik kamuflażu. Platforma Phishing-as-a-Service (PhaaS) Tycoon oferuje zaawansowane funkcje, takie jak narzędzia do omijania detekcji i weryfikacji dwuskładnikowej. Ataki Tycoon włączają zaawansowane techniki kodowania URL, fałszywe etapy weryfikacji CAPTCHA oraz wykorzystanie podpikowanych adresów subdomenowych do wprowadzenia ofiar w błąd.

Grupa związana z Iranem przeprowadziła zorganizowaną kampanię spear-phishingu, kierującą się do ambasad i konsulatów w Europie i innych regionach świata. Atak wykorzystywał manipulację treścią e-maili i makra VBA w celu zainstalowania złośliwego oprogramowania na urządzeniach ofiar.

Google zdementował plotki o powszechnym zagrożeniu bezpieczeństwa kont Gmail. Mimo braku oficjalnego ostrzeżenia, istnieje realne ryzyko ataków phishingowych i vishingowych na dane Salesforce przechowywane w chmurze Google'a.

Artykuł omawia znaczenie ciasteczek, różne rodzaje, sposób działania oraz konieczność informowania użytkowników o nich. Zawiera też informacje o wrażliwych ciasteczkach przechowujących identyfikator sesji, typy ataków na nie oraz sposoby ochrony zarówno dla deweloperów, jak i użytkowników.

Atakujący znany jako Silver Fox wykorzystał podatny sterownik związany z oprogramowaniem antywirusowym WatchDog do ataku typu BYOVD. Celuje w rozbrojenie rozwiązań zabezpieczeń na kompromitowanych hostach poprzez wykorzystanie dwóch sterowników, amsdk.sys i WatchDog. Atak polega na zneutralizowaniu produktów ochrony końcowej, umożliwiając wdrożenie złośliwego oprogramowania ValleyRAT, zapewniającego zdalny dostęp do systemu.

Srebrna Lisica, znana jako Silver Fox, wykorzystuje podatny sterownik WatchDog Anti-malware, aby zainstalować złośliwe oprogramowanie ValleyRAT w ataku typu BYOVD. Kampania ma na celu wyłączenie rozwiązań bezpieczeństwa na zainfekowanych hostach, co umożliwia instalację i utrzymywanie oprogramowania malware bez wykrycia przez mechanizmy bazujące na sygnaturach. Ataki te są częścią skoordynowanej działalności cyberprzestępczej, której celem jest kradzież informacji, oszustwa finansowe i zdalne kontrolowanie systemów ofiar.

Firma Zscaler padła ofiarą kampanii cyberataków na dane klientów Salesforce. Sprawca pozyskał dostęp do instancji Salesforce poprzez kradzież tokenów OAuth z aplikacji trzeciej strony Salesloft Drift. Zscaler podjęło szybkie działania w celu ograniczenia szkód oraz wzmocniło zabezpieczenia, jednakże zaleca klientom zachowanie czujności przed ewentualnymi atakami phishingowymi.

Wypadek naruszenia certyfikatów uwierzytelniających w Salesloft wywołał szereg reakcji w świecie korporacyjnym. Atakujący ukradli znaczną liczbę tokenów uwierzytelniających, co poskutkowało dostępem do danych z wielu usług online, m.in. Slack, Google Workspace, Amazon S3, Microsoft Azure i OpenAI. Również Google zauważył, że atak sięga znacznie dalej niż Salesforce, i ostrzega przed dodatkowymi zagrożeniami. Incydent ten wiąże się z szeroko zakrojoną kampanią inżynierii społecznej i grupą zagrożeń UNC6040.

Cyberbezpieczeństwo dzisiaj to nie tyle pojedyncze ataki, co łańcuchy drobnych słabości, które prowadzą do poważnych zagrożeń. Od niedocenionej aktualizacji po złe wykorzystanie konta czy narzędzia w nieodpowiednich rękach - to wystarczy, by otworzyć drzwi. Atakujący mieszają metody, łącząc kradzież dostępu, niezałatwione oprogramowanie i sprytne triki, przechodząc od małych punktów wejścia do poważnych konsekwencji. Dla obrońców nauka jest jasna: prawdziwe niebezpieczeństwo często tkwi nie w pojedynczej wadzie, ale w interakcjach różnych drobnych usterek. WhatsApp załatał wykorzystywaną aktywnie lukę, a dzięki Advanced Threat Protection można monitorować aktywność cyberprzestępców.

Cyberbezpieczeństwo dzisiaj polega mniej na pojedynczych atakach, a bardziej na łańcuchach małych słabości, które łączą się w duże ryzyko. Oto przegląd najważniejszych zagrożeń związanych z WhatsApp, Auth0, serwerami MCP oraz listą najnowszych podatności CVE, porady dotyczące zapewnienia bezpieczeństwa MCP i przypominający trend rosnącej roli nowych technologii w dziedzinie bezpieczeństwa cybernetycznego.

Artykuł omawia rosnące zagrożenia cybernetyczne związane z przeglądarkami, przedstawiając działania grupy Scattered Spider oraz strategie zapobiegania zaawansowanym zagrożeniom z nim związanym. Autorzy zalecają CISOs rozważenie bezpieczeństwa przeglądarek jako centralnego filara obrony organizacji.

W artykule omówiono zagrożenia, jakie niesie za sobą Scattered Spider, zaawansowana grupa hakerska atakująca wrażliwe dane przeglądarek. Poruszono także strategie obronne przeciwko zaawansowanym zagrożeniom w przeglądarkach, takie jak ataki phishingowe, wykradanie sesji, złośliwe rozszerzenia czy rekonnaissance. Zaleca się wykorzystanie wielowarstwowej strategii bezpieczeństwa przeglądarek oraz integrację ochrony przeglądarek w obecną infrastrukturę bezpieczeństwa, aby wzmocnić całą sieć organizacyjną.

Amazon zidentyfikował i zablokował cyberatak typu watering hole przeprowadzony przez rosyjską grupę APT29, która próbowała wykorzystać błędy uwierzytelniania Microsoft. Atak miał na celu przekierowanie użytkowników na złośliwą infrastrukturę w celu dostarczenia złośliwego oprogramowania, kradzieży danych logowania lub szpiegostwa cybernetycznego.

Badacze cybersecurity odkryli nową kampanię phishingową przeprowadzoną przez grupę hakerską związaną z Koreą Północną, znaną jako ScarCruft (znana również jako APT37), w celu dostarczenia złośliwego oprogramowania znanego jako RokRAT. Ataki są skierowane na osoby związane z Narodowym Stowarzyszeniem Badań Wywiadowczych, w tym na środowiska akademickie, byłe osoby związane z rządem i badaczy.

Grupa badaczy odkryła nową kampanię phishingową przeprowadzaną przez grupę hakerską z Korei Północnej o nazwie ScarCruft (zwana też APT37) w celu dostarczenia złośliwego oprogramowania znaczonego jako RokRAT. Ataki, nazwane operacją HanKook Phantom, skierowane są na osoby związane z Narodowym Stowarzyszeniem Badań Wywiadowczych, w tym na postacie akademickie, byłych urzędników rządowych i badaczy. W kampanii wykorzystywane są techniki takie jak phishing z użyciem załączników w formacie LNK podszywających się pod dokumenty PDF oraz skrypty PowerShell do zrzucania złośliwego oprogramowania na zainfekowane hosty. RokRAT umożliwia zbieranie informacji systemowych, wykonywanie poleceń, przechodzenie po systemie plików, przechwytywanie zrzutów ekranu oraz pobieranie dodatkowych ładunków. Dane są wyciekane poprzez różne chmury danych. Additionally, the article touches upon new sanctions imposed by the U.S. Department of the Treasury on individuals and entities involved in North Korean remote IT work scheme, as well as investigations uncovering connections between a blockchain game and North Korean IT Workers.

Badacze cyberbezpieczeństwa zwracają uwagę na atak cybernetyczny, w którym nieznani sprawcy wykorzystali narzędzie do monitorowania końcowych punktów i analizy cyfrowej o nazwie Velociraptor w celu zainstalowania Visual Studio Code w celu tunelowania do własnego serwera C2. Atak ten pokazuje rosnące wykorzystanie legalnego oprogramowania do celów złośliwych.

Sformułowano nowe zagrożenia dotyczące cyberbezpieczeństwa, w których napastnicy wykorzystują narzędzie do monitorowania endpointów i analizy cyfrowej o nazwie Velociraptor do złośliwych celów. Zwolennicy Velociraptor wykorzystują Windows msiexec do pobierania instalatora MSI z domeny Cloudflare i wdrażania dodatkowych narzędzi, takich jak narzędzie tunelujące Cloudflare i narzędzie do zdalnej administracji o nazwie Radmin. Innym obiektem ataków jest Microsoft Teams, gdzie przestępcy wykorzystują platformę do inicjowania dostępu i dostarczania oprogramowania złośliwego, takiego jak narzędzia zdalnego dostępu AnyDesk czy Quick Assist, poprzez skomunikowane tenanty IT. Wszystkie te zagrożenia podkreślają pilną potrzebę monitorowania, reagowania i zabezpieczania systemów przed rosnącą liczbą ataków cybernetycznych.

Wyspecjalizowana kampania phishingowa przeciwko pracownikom rządowym i służbom wywiadowczym Południowej Korei została odkryta przez firmę cyberbezpieczeństwa Seqrite. Grupa hakerska APT37, prawdopodobnie wspierana przez Koreę Północną, wykorzystała pliki związane z intelligence to narzędzia ataku. Atakujący rozpowszechniają fałszywy dokument PDF wraz z złośliwym plikiem LNK, co pozwala im na kompromitację systemów ofiar.

Czołowa platforma internetowa oznajmiła, że przerwała kampanię wykorzystującą technikę Watering Hole, zorganizowaną przez aktorów związanych z Rosją. Grupa APT29 próbowała oszukać użytkowników poprzez przekierowanie ich na złośliwą infrastrukturę, podając się za legalne strony, w celu uzyskania dostępu do kont Microsoft.

Amazon ujawnił i zablokował operacyjną kampanię Watering Hole, którą zorganizowali sprawcy związani z Rosją z grupy APT29, wykorzystującą uwierzytelnianie kodu urządzenia Microsoft. Atak polegał na przekierowywaniu odwiedzających kompromitowane strony do złośliwej infrastruktury, aby oszukać użytkowników i uzyskać dostęp do ich kont i danych.

Porzucony serwer aktualizacji powiązany z oprogramowaniem edytora metody wprowadzania IME Sogou Zhuyin został wykorzystany przez cyberprzestępców w ramach kampanii szpiegowskiej, dostarczając szereg rodziny złośliwego oprogramowania, w tym C6DOOR i GTELAM, głównie atakując użytkowników w Azji Wschodniej. Badacze z Trend Micro stwierdzili, że atakujący wykorzystali złożone łańcuchy infekcji, takie jak porwane aktualizacje oprogramowania i fałszywe strony chmury lub logowania, aby rozpowszechniać złośliwe oprogramowanie i zbierać wrażliwe informacje. Kampania, zidentyfikowana w czerwcu 2025 roku, otrzymała kodową nazwę TAOTH i głównie skierowana jest przeciwko dysydentom, dziennikarzom, badaczom oraz liderom technologicznym/biznesowym w Chinach, Tajwanie, Hongkongu, Japonii, Korei Południowej i społecznościach tajwańskich za granicą.

Porzucony serwer aktualizacji związany z oprogramowaniem edytora metody wprowadzania Sogou Zhuyin został wykorzystany przez sprawców zagrożeń w ramach kampanii szpiegowskiej, która miała na celu dostarczenie kilku rodzin złośliwego oprogramowania w atakach głównie skierowanych na użytkowników z obszaru Azji Wschodniej.

W artykule omówiono, w jaki sposób atakujący dostosowują się do mechanizmów ochrony macOS oraz przedstawiono sposoby wykrywania i zwalczania ataków na przykładach takich mechanizmów jak menedżer haseł Keychain, System Integrity Protection (SIP), Transparency, Consent and Control (TCC) oraz File Quarantine. Przedstawiono również konieczność użycia zaawansowanych rozwiązań zewnętrznych w celu osłabienia ataków na zaawansowane mechanizmy macOS.

Władze z Holandii i Stanów Zjednoczonych ogłosiły wyłączenie nielegalnego rynku o nazwie VerifTools, który sprzedawał fałszywe dokumenty tożsamości cyberprzestępcom na całym świecie. Mimo akcji FBI, operatorzy szybko wznowili usługę na nowej domenie, unikając ujawnienia tożsamości. Rząd USA podkreślił, że operatorzy produkowali i sprzedawali fałszywe prawo jazdy, paszporty oraz inne dokumenty identyfikacyjne, umożliwiające nieautoryzowany dostęp do kont online.

Władze Holandii i Stanów Zjednoczonych ogłosiły likwidację platformy VerifTools, sprzedającej fałszywe dokumenty tożsamości cyberprzestępcom na całym świecie. Chociaż domeny zostały zabezpieczone, operatorzy szybko wznowili usługi na nowym adresie. Departament Sprawiedliwości USA informuje, że platforma generowała podróbki dokumentów tożsamości, umożliwiające oszustwa i dostęp do kont online. Dochód z działalności VerifTools szacuje się na około 6,4 miliona USD. Władze holenderskie opisują platformę jako jednego z największych dostawców fałszywych dokumentów tożsamości. Po likwidacji, cała infrastruktura strony została zabezpieczona do analizy.

Nowa fala ataków phishingowych wykorzystujących Microsoft Teams do dostarczania złośliwego oprogramowania została odkryta przez badaczy bezpieczeństwa. Atakujący tworzą fałszywe konta wsparcia IT, aby oszukać pracowników i zainstalować zdalne narzędzia dostępu, umożliwiając im bezpośrednią kontrolę nad systemami firmowymi.

Współczesne narzędzia zarządzania projektami, takie jak Trello czy Asana, niosą ze sobą ryzyko naruszenia danych oraz wrażliwych informacji. Wprowadzenie ochrony poprzez chmurę i backup jest kluczowe dla zapewnienia bezpieczeństwa danych przed błędami ludzkimi oraz atakami cybernetycznymi.

W tekście przedstawione są ryzyka związane z poleganiem wyłącznie na narzędziach platformowych do zarządzania projektami oraz metody ochrony przed nimi poprzez korzystanie z chmury do tworzenia kopii zapasowych i ich przywracania. Poruszane są kwestie błędów ludzkich, zagrożeń cybernetycznych i konieczności posiadania dodatkowych rozwiązań do zabezpieczenia danych.

Pojawił się nowy raport ze świata, w którym wymieniono chińskie firmy technologiczne współpracujące z grupą APT Salt Typhoon, wspomagającą cele szpiegowskie. Atakując dzięki wykorzystaniu znanych słabych punktów, zagrażają one globalnie bezpieczeństwu sieci, zachęcając organizacje do szybkiej aktualizacji systemów.

Firma ESET odkryła ransomware'a PromptLock, wykorzystującego sztuczną inteligencję i generującego złośliwe skrypty Lua w czasie rzeczywistym. Ransomware ten jest złożony z używaniem modelu gpt-oss:20b od OpenAI i powoduje zaszyfrowanie plików. Mimo być potwierdzonym koncepcyjnie, a nie w pełni funkcjonalnym, może prowadzić do kradzieży danych oraz zniszczenia ich. Pojawienie się takich zagrożeń jest efektem łatwiejszego wykorzystania sztucznej inteligencji przez cyberprzestępców, co komplikuje zadanie obrony przed nimi.

Cyberbezpieczności firma ESET odkryła szkodliwe oprogramowanie zwanego PromptLock, które wykorzystuje model AI gpt-oss:20b od OpenAI do generowania złośliwych skryptów Lua w czasie rzeczywistym. Ransomware ten ma zdolność do szyfrowania plików oraz potencjalnie do eksfiltrowania lub nawet zniszczenia danych.

Firma Anthropic ujawniła, że zdołała zakłócić zaawansowaną operację wykorzystującą swojego chatbota Claude opartego na sztucznej inteligencji do prowadzenia masowych kradzieży i wymuszeń danych osobowych w lipcu 2025 roku. Napastnik użył Clauda Code do automatyzacji różnych etapów ataku, m.in. rozpoznania, pozyskiwania poświadczeń i penetracji sieci. Wykorzystując AI, zaatakujący podejmował decyzje taktyczne i strategiczne oraz określał kwoty okupów w Bitcoinach, analizując dane finansowe ofiar.

Firma Anthropic ujawniła, że przełamała zaawansowaną operację wykorzystującą jej chatbota z SI do prowadzenia kradzieży i wymuszeń danych osobowych. Napastnik wykorzystał klipy tekstu Claude Code, aby automatyzować fazy cyklu ataku, w tym rozpoznanie, pozyskiwanie poświadczeń i penetrację sieci. Wykorzystując SI, zaatakowany zdołał podejmować decyzje o strategicznym znaczeniu i określać dane do wydobycia z sieci ofiar oraz ustalać kwoty okupu od 75 000 do 500 000 dolarów w Bitcoinie.

Atak cybernetyczny o nazwie ShadowSilk skierowany jest na 35 organizacji w Azji Środkowej i regionie Azji-Pacyfiku. Grupa wykorzystuje różne narzędzia i infrastrukturę, współpracując z innymi podmiotami, takimi jak YoroTrooper, SturgeonPhisher i Silent Lynx.

Grupa ShadowSilk przeprowadza ataki na organy rządowe w Azji Środkowej i regionie APAC, wykorzystując zaawansowane narzędzia i strategie. Jej działania obejmują kradzież danych, wykorzystywanie różnorodnych narzędzi, takich jak web-shelly, trojany i boty Telegram, oraz wykorzystywanie exploitów na platformy CMS. Istnieją podejrzenia dotyczące współpracy rosyjskojęzycznych i chińskojęzycznych członków grupy, co sprawia, że zagrożenie jest wieloregionalne i złożone.

Analiza luk w zabezpieczeniach oraz wykorzystywanych exploitów w sektorze cyberbezpieczeństwa w Q2 2025. Raport zawiera statystyki CVE, trendy w kierunku zwiększenia liczby zagrożeń, popularność exploitów w systemach Windows i Linux, oraz rankingi wykorzystywanych podatności w atakach APT. Przedstawiona jest również analiza najnowszych luk bezpieczeństwa w popularnych systemach i sposoby ich wykorzystania, a także zalecenia dotyczące zapewnienia bezpieczeństwa infrastruktury korporacyjnej.

Badacze cyberbezpieczeństwa odkryli pięć odrębnych klasterów działalności związanych z zagrożeniem Blind Eagle działającym między majem 2024 a lipcem 2025 roku, skoncentrowanych głównie na kolumbijskim rządzie oraz innych sektorach. Ataki obejmują wykorzystanie trojanów RAT, przynęt phishingowych i dynamicznych infrastruktur DNS.

Analiza działań grupy zagrożeń Blind Eagle ujawnia ataki na sektory rządowe i inne branże w Ameryce Południowej, szczególnie w Kolumbii. Wykorzystywane są zaawansowane techniki, takie jak phishing i malware, w operacjach finansowych i szpiegowskich.

Odkrycie PromptLock ukazuje, jak złośliwe wykorzystanie modeli AI może wzmocnić ransomware i inne zagrożenia cybernetyczne. Malware ten wykorzystuje model gpt-oss-20b z OpenAI do generowania złośliwych skryptów Lua w locie, aby zdolny do wykradania, szyfrowania i potencjalnie nawet niszczenia danych.

Złośliwe oprogramowanie MixShell, dostarczane poprzez formularze kontaktowe, atakuje kluczowe dla łańcucha dostaw firmy produkcyjne w USA. Atak polega na inicjowaniu kontaktu z pracownikami firm poprzez strony internetowe, co prowadzi do wysyłki zainfekowanych plików ZIP zawierających szkodliwe oprogramowanie. Kampania ZipLine jest dowodem na innowacyjne podejścia przestępców do przeprowadzania ataków z wykorzystaniem zaufanych kanałów komunikacji oraz technik socjotechnicznych.

Badacze cyberbezpieczeństwa alarmują przed zaawansowaną kampanią inżynierii społecznej, która celuje w krytyczne dla łańcucha dostaw przedsiębiorstwa produkcyjne. Ataki obejmują skomplikowany proces socjotechniczny, mający na celu zainfekowanie firm z sektora produkcji przemysłowej w USA, wykorzystując złośliwe oprogramowanie MixShell w plikach ZIP. Kampania skupia się na nawiązywaniu zaufanej komunikacji z celami poprzez formularze kontaktowe na stronach internetowych, a następnie wysyłaniu zakamuflowanego oprogramowania szantażującego, wykorzystując mechanizmy wykonania w pamięci i kanały komendy i kontroli opartej na DNS.

HOOK Android Trojan to nowa wersja trojana bankowego, który dodaje nakładki ransomware i poszerza funkcjonalności o 107 poleceń zdalnych. Wariant ten ukierunkowany jest na wyłudzanie okupów poprzez pełnoekranowe nakładki. Oprócz tego trojan ma zdolność do wysyłania SMS-ów, uruchamiania strumieni ekranu ofiary czy kradzieży danych z portfeli kryptowalutowych. Zimperium zauważa, że HOOK zaczął być szeroko rozpowszechniany poprzez phishing i fałszywe repozytoria na GitHubie.

Analiza odkrycia nowej wersji trojana bankowego HOOK na system Android, która dodaje nakładki typu ransomware oraz rozszerza się do 107 poleceń zdalnych, wraz z informacją o ewolucji innego trojana, Anatsa, oraz zagrożeniach ze strony różnych rodzin złośliwego oprogramowania.

Analiza ataku cybernetycznego przeprowadzanego przez UNC6384, chińską grupę zagrożeń, skierowanego przeciwko dyplomatom poprzez zaawansowane techniki inżynierii społecznej i stosowanie złośliwego oprogramowania PlugX.

Grupa zagrożeń UNC6384, związana z Chinami, przeprowadza ataki mające na celu dyplomatów w Azji Południowo-Wschodniej i inne podmioty na całym świecie, aby promować strategiczne interesy Pekinu. Atak polega na wykorzystaniu zaawansowanego inżynierii społecznej oraz certyfikatów kodu, implementacji w pamięci implantów PlugX oraz porwań portalu dostępu.

Analiza kampanii phishingowej, która wykorzystuje fałszywe wiadomości głosowe i zamówienia zakupu do dostarczania ładowacza malware o nazwie UpCrypter. Atak skupia się głównie na sektorach produkcyjnym, technologicznym, opieki zdrowotnej, budowlanym oraz handlu/hospitality, docierając do różnych krajów od początku sierpnia 2025 r., z największą liczbą infekcji w Austrii, Białorusi, Kanadzie, Egipcie, Indiach i Pakistanie. UpCrypter działa jako kanał dla różnych narzędzi zdalnego dostępu (RATs), takich jak PureHVNC RAT, DCRat i Babylon RAT, umożliwiając atakującemu pełną kontrolę nad skompromitowanymi hostami.

Nowa kampania phishingowa wykorzystuje sztuczki z fałszywymi wiadomościami głosowymi i zamówieniami zakupu do dostarczenia ładowacza oprogramowania zwanego UpCrypter. Atakujące sektory to m.in. produkcja, technologia, opieka zdrowotna, budownictwo oraz sektor handlowo-hotelarski. UpCrypter pełni rolę przewodnika dla różnych narzędzi zdalnego dostępu (RAT), umożliwiając cyberprzestępcom pełną kontrolę nad zainfekowanymi hostami.

Serwis internetowy zabezpiecza się przed atakami online. Wpisane słowo czy fraza, komenda SQL lub złe dane mogą spowodować zablokowanie dostępu. Zaleca się kontakt z właścicielem strony w celu wyjaśnienia sytuacji. Wsparcie zapewnia Cloudflare.

Grupa APT Transparent Tribe, znana również jako APT36, kontynuuje zaawansowane ataki na systemy Windows i BOSS Linux, wykorzystując złośliwe pliki skrótów na pulpicie, aby zdobyć dostęp do infrastruktury rządowej. Ich ataki obejmują phishing, instalację payloadów i mechanizmy utrzymujące wytrwałe dostanie do systemów.

Grupa APT36, znana jako Transparent Tribe, zaatakowała systemy Windows i BOSS Linux rządowych instytucji indyjskich za pomocą złośliwych skrótów do pulpitu. Ataki rozpoczynają się od phishingu, a malware umożliwia zdalną kontrolę, zbieranie danych i przechwytywanie poświadczeń.

Blog pisał krótko o kałamarnicy brodawkowatej. Można także wykorzystać ten wpis o kałamarnicy do omówienia aktualnych historii dotyczących bezpieczeństwa, o których nie wspomniano. Polityka moderacji bloga.

Nowy atak wykorzystujący phishingowy email do dostarczenia otwartego backdooru VShell podczas infekcji Linux-specific malware za pomocą złośliwego pliku RAR. Atak wykorzystuje iniekcję polecenia powłoki, Base64-zakodowane ładunki Bash oraz manipulację z nazwami plików. Malware VShell umożliwia zdalną kontrolę nad systemem i unika wykrycia związanego z dyskiem, potrafi również atakować szeroki zakres urządzeń z systemem Linux.

Nowa technika ataku na systemy Linux poprzez zainfekowane pliki RAR zawierające złośliwe nazwy. Wykorzystuje ona iniekcję komend w powłokach systemowych oraz kodowanie Base64 do automatycznego wywołania złośliwego oprogramowania. Atak umożliwia przekazywanie szkodliwego oprogramowania bez wykrycia przez tradycyjne mechanizmy antywirusowe, wykorzystując lukę w przetwarzaniu nazw plików.

Operacja Serengeti 2.0, zorganizowana przez Interpol, przyniosła świetne rezultaty w walce z cyberprzestępczością w Afryce. W ramach działań aresztowano 1009 przestępców, odzyskano 97,4 mln dolarów skradzionej gotówki i zdemontowano kilka nielegalnych centrów górniczych kryptowalut oraz ukarano szereg oszustów prowadzących inwestycyjne przestępstwa online.

Badania przeprowadzone przez Darktrace wykazały, że sprawcy ataków wykorzystują wirtualne serwery prywatne do kompromitacji kont oprogramowania jako usługi. Atakujący podejmują kroki mające na celu uniknięcie wykrycia i zapewnienie trwałego dostępu, co utrudnia wykrycie działań nieautoryzowanych.

Analiza współczesnych zagrożeń dla bezpieczeństwa nowoczesnych pojazdów, z uwzględnieniem kategorii pojazdów i zmian architektonicznych wprowadzonych przez producentów w odpowiedzi na potencjalne ataki cybernetyczne. Omówienie zagrożeń dla pojazdów starszych, przejściowych i nowoczesnych, oraz wskazanie na rosnące zapotrzebowanie na testowanie penetracyjne i zabezpieczenia cybernetyczne w sektorze motoryzacyjnym.

Doświadczony specjalista opisuje swoje ulubione darmowe aplikacje dla systemu Windows, które poprawiają bezpieczeństwo, wydajność i doświadczenie użytkownika. Znajdziesz tutaj rekomendacje dotyczące przeglądarki internetowej, odtwarzacza multimedialnego, narzędzia do przechwytywania ekranu, alternatywnego pakietu biurowego i aplikacji do organizacji zadań, wraz z uzasadnieniem ich wyboru.

Analiza ataku cyberprzestępców wykorzystujących taktykę ClickFix do implementacji wszechstronnego backdooru o nazwie kodowej CORNFLAKE.V3 oraz fałszywych stron CAPTCHA jako przynęt. Atak rozpoczyna się przez wysyłanie użytkowników na zainfekowane strony internetowe, gdzie kopiują złośliwy skrypt PowerShell i wykonują go poprzez okno dialogowe Windows Run. Działania grup UNC5518 służą dostępowi systemowemu dla innych grup zagrożeń, umożliwiając im etapowe zainfekowanie oraz dostarczanie dodatkowych ładunków. Wprowadzenie backdooru CORNFLAKE.V3 umożliwia wykonanie różnorodnych plików źródłowych oraz zbieranie informacji o systemie, przesyłanych poprzez tunelową komunikację za pośrednictwem Cloudflare w celu uniknięcia wykrycia. Organizacje zaleca się wyłączenie okna dialogowego Windows Run, przeprowadzanie regularnych ćwiczeń symulacyjnych oraz stosowanie ścisłego monitoringu w celu wykrycia i przeciwdziałania złośliwym akcjom.

Cyberprzestępcy wykorzystują taktykę socjotechniczną ClickFix, aby zainstalować backdoor o nazwie CORNFLAKE.V3, wykorzystując fałszywe strony CAPTCHA do oszukania użytkowników w udostępnienie dostępu do swoich systemów. Atak ten obejmuje kilka etapów, w których wykorzystywana jest zaktualizowana wersja backdooru CORNFLAKE.V3, umożliwiająca wykonywanie różnych rodzajów payloadów i zbieranie informacji systemowych. Zaleca się przedsiębiorstwom m.in. wyłączenie okna dialogowego Run w Windowsie oraz przeprowadzanie regularnych ćwiczeń symulacyjnych w celu zwalczania tego typu ataków z wykorzystaniem socjotechniki.

Noah Michael Urban, młody mężczyzna z Florydy, został skazany na 10 lat więzienia za związane z cyberprzestępczością zarzuty, w tym spisek i oszustwo przewodnie. Był częścią grupy działającej pod nazwą Scattered Spider, która dokonała wielu ataków na znane organizacje. Urban zgodził się zwrócić ofiarom ponad 13 mln USD i był aktywny w podziemnym świecie online pod różnymi pseudonimami. Jego wyrok jest pierwszym tego rodzaju dla członka Scattered Spider.

Badacze cyberbezpieczeństwa ujawnili szczegóły nowego ładującego malware'a o nazwie QuirkyLoader, który od listopada 2024 roku jest wykorzystywany w kampaniach spamu e-mailowego do dostarczania różnorodnych złośliwych ładunków, takich jak Agent Tesla, AsyncRAT czy Snake Keylogger.

Nowe złośliwe oprogramowanie QuirkyLoader jest używane przez hakerów od listopada 2024 r. do rozpowszechniania szeregu groźnych dodatków, takich jak Agent Tesla, AsyncRAT czy Snake Keylogger. Ataki polegają na wysyłaniu spamu z zainfekowanymi załącznikami, które po uruchomieniu ładowane są do procesów AddInProcess32.exe, InstallUtil.exe lub aspnet_wp.exe.

Wprowadzono nową metodę inżynierii społecznej - PromptFix, która wykorzystuje technikę wstrzykiwania komunikatu, aby oszukać agencjalną sztuczną inteligencję i zmusić ją do podejmowania szkodliwych działań. Atak polega na przekazywaniu fałszywych instrukcji AI, co może prowadzić do pobierania złośliwego oprogramowania na urządzenia użytkowników.

Firma badawcza farmaceutyczna Inotiv z Indiany potwierdziła atak ransomware, który miał miejsce wcześniej w tym miesiącu. Atak ten spowodował zakłócenia w operacjach biznesowych firmy, a cyberprzestępcy żądają okupu za odszyfrowanie skradzionych danych.

Badacze bezpieczeństwa z Barracuda Networks odkryli innowacyjne techniki phishingu przy użyciu kodów QR, dzięki którym oszuści mogą unikać wykrycia. Ataki te, zwane 'Quishing', polegają na dzieleniu złośliwych kodów QR na dwie części lub osadzaniu ich w autentycznych kodach. Zaleca się stosowanie zaawansowanych rozwiązań z dziedziny sztucznej inteligencji, aby skutecznie bronić się przed rosnącym zagrożeniem.

Organizacja non-profit z USA zaapelowała do właścicieli biznesów i influencerów o ostrożność wobec nowego oszustwa, polegającego na zdobyciu zdalnego dostępu do komputera i przejęciu kont online. Przestępcy podszywają się pod menedżerów fikcyjnych podcastów celebrytów, aby zdobyć loginy do mediów społecznościowych ofiary. Oszustwo to ma na celu także specjalistów i kadry zarządzającej firmami, a więc obecnie nie są one jedynym celem przestępców.

Artykuł przedstawia opinię ZDNET dotyczącą VPN-ów, a także testy, porównania i rekomendacje najlepszych VPN-ów dla użytkowników Chrome, takich jak ExpressVPN, Surfshark, Windscribe, NordVPN i Proton VPN. Zawiera także porady dotyczące korzystania z VPN-ów, ich różnicę w stosunku do trybu incognito, oraz informacje dotyczące pobierania i instalacji rozszerzeń VPN. Podkreśla znaczenie bezpieczeństwa online oraz zachęca do korzystania z pełnych funkcji VPN-ów. Daje wskazówki, które VPN-y wybrać w zależności od potrzeb użytkownika i porównuje je pod względem cen i funkcji.

Atak cybernetyczny na Allianz Life w lipcu ujawnił dane osobowe około 1,1 miliona klientów. Hakerzy zdobyli imiona, daty urodzenia, płeć, adresy e-mail, numery telefonów, adresy zamieszkania i numery ubezpieczenia społecznego. Incydent powiązano z grupą ShinyHunters, stosującą taktykę inżynierii społecznej. Wartościowe informacje z naruszonego CRM mogą posłużyć cyberprzestępcom do kradzieży tożsamości i kampanii phishingowych. Allianz Life prowadzi śledztwo i oferuje monitorowanie tożsamości przez dwa lata dla poszkodowanych.

Artykuł porusza potrzebę szybkiego reagowania na zagrożenia cybernetyczne poprzez inwestowanie w nowoczesne rozwiązania MDR. W wyniku coraz skuteczniejszych ataków czas reakcji organizacji skraca się do kilku minut, co wymaga efektywnych działań obronnych ze strony zespołów IT. Popularność MDR rośnie w odpowiedzi na rozwijający się krajobraz cyberprzestępczości oraz braki kadrowe w dziedzinie cyberbezpieczeństwa. Outsourcing monitorowania zagrożeń staje się opłacalną opcją, pomagając w zapewnieniu nieprzerwanej ochrony 24/7.

Web scraping polega na pobieraniu danych z witryn internetowych, które nie są oficjalnie udostępnione do analizy danych. Tłumaczenie wyjaśnia praktyczne zastosowania web scrapingu oraz wpływ sztucznej inteligencji na tę dziedzinę.

Pakiet eslint-config-prettier został skompromitowany w ataku phishingowym, z potencjalnie znacznym wpływem na bezpieczeństwo dostaw.

Artykuł omawia wybór najlepszych programów antywirusowych dla systemu Windows oraz prezentuje rekomendacje ekspertów ZDNET. Autor dokładnie testuje różne programy, wskazując Malwarebytes jako najlepszą opcję. Opisane są również programy Bitdefender, TotalAV, McAfee Total Protection i Avast One oraz omawiane są ich cechy i zalecane użytkowanie.

Wraz z rosnącą niepewnością ekonomiczną i inflacją, coraz bardziej zaawansowane oszustwa związane z inwestycjami na mediach społecznościowych stają się coraz powszechniejsze. Cyberprzestępcy wykorzystują różne taktyki, włącznie z deepfake'ami generowanymi przez sztuczną inteligencję, by zwabić ofiary i wyłudzić od nich pieniądze.

Firma Workday doświadczyła naruszenia danych związanych z platformą CRM firm trzecich, wynikającym z kampanii inżynierii społecznej. Informacje takie jak nazwiska, adresy e-mail i numery telefonów zostały skompromitowane. Szerzej omawiając, atak przypomina wiele innych działań grupy ShinyHunters, które miały miejsce w ostatnich tygodniach. Istnieje ryzyko wykorzystania skradzionych danych do przeprowadzenia oszustw metodą inżynierii społecznej.

Artykuł opisuje możliwość ataku typu downgrade, który pozwala zestawom phishingowym obejść FIDO, narzędzie zabezpieczającego uwierzytelnianie. Autor informuje o działaniu zabezpieczeń na stronie internetowej, które reagują na potencjalne ataki online, blokując niebezpieczne akcje użytkowników.

Grupa ransomware MedusaLocker poszukuje pentesterów w celu zwiększenia liczby ataków na firmy. Zwraca uwagę na możliwość zatrudnienia osób mających już dostęp do sieci korporacyjnych, co może ułatwić atakującym zdobycie nieautoryzowanego dostępu do systemów.

Ostatnio zaobserwowano znaczący rozwój technik phishingowych, z cyberprzestępcami coraz bardziej polegającymi na sztucznej inteligencji i nowoczesnych metodach oszustw. Więcej scamów wykorzystuje nowoczesne narzędzia, takie jak głębokie fałszerstwa, klaonowanie głosu czy wilęzy rozpoznawania głosu do oszukiwania ofiar. Ataki są coraz bardziej spersonalizowane i zaawansowane, wymagając większej czujności.

Aktywna kampania phishingowa podszywająca się pod Home Office zmierza do skompromitowania organizacji w Wielkiej Brytanii licencjonowanych do sponsorowania pracowników i studentów spoza kraju.

Analiza wykazała, że wpływowa grupa ShinyHunters może szybko skierować swoje działania na firmy usług finansowych, zwiększając liczbę domen phishingowych. Firmy finansowe, banki i ubezpieczyciele mogą stać się priorytetem dla cyberprzestępców. Zaleca się skupienie na taktykach, technikach i procedurach w celu uniknięcia ataku.

Młodzi użytkownicy internetu, choć znający się na technologii, są bardziej narażeni na oszustwa i inne zagrożenia online, niż mogą przypuszczać. Analiza wykazała, że generacje Z i Millenials są bardziej podatne na cyberzagrożenia ze względu na zwiększoną obecność online oraz brak odpowiedniej higieny cyfrowej. Artykuł zawiera wskazówki dla młodych ludzi i ich rodziców dotyczące bezpieczeństwa w sieci.

Badania ESET ujawniły nową lukę w WinRAR wykorzystywaną przez grupę RomCom w atakach szpiegowskich na firmy finansowe, produkcyjne, obronne i logistyczne w Europie i Kanadzie. Luka CVE-2025-8088 pozwala cyberprzestępcom wykonanie dowolnego kodu poprzez manipulowanie złośliwymi plikami archiwalnymi, co potwierdza determinację grupy RomCom w wykorzystywaniu błędów zero-day oraz w inwestowanie znaczących zasobów w swoje działania. Użytkownicy WinRAR powinni jak najszybciej zaktualizować narzędzie do najnowszej wersji (7.13) w celu zabezpieczenia się przed atakami.

Odkryta niedawno luka w zabezpieczeniach programu WinRAR została wykorzystana przez grupę hakerską RomCom. Zaleca się natychmiastową aktualizację w celu zminimalizowania ryzyka ataku.

Doświadczony użytkownik Windows podzielił się zalecanymi darmowymi aplikacjami poprawiającymi użytkowość systemu, takimi jak przeglądarka Brave, odtwarzacz multimedialny VLC, narzędzie do przechwytywania ekranu ShareX, pakiet biurowy WPS Office i aplikacja do organizowania zadań Todoist.

Grupa ransomware Embargo, działa od kwietnia 2024 r., zarobiła około 34,2 mln dolarów z ataków. Dochody te zostały dokładnie prześledzone przez platformę TRM Labs, która odnalazła płatności kryptowalutowe o wartości około 13,5 mln dolarów rozproszone w różnych globalnych usługodawcach wirtualnych aktywów. Pozostałe fundusze zostały pralniowane poprzez pośrednie portfele, giełdy wysokiego ryzyka i platformy objęte sankcjami. Badacze sugerują, że grupa celowo rozprowadza zyski z okupu, aby uniknąć wykrycia przez władze. Obserwuje się także pewne powiązania z wcześniejszą grupą BlackCat, co sugeruje, że Embargo może być jej zrebrandowaną wersją. Grupa różni się taktykami od innych prominentnych grup ransomware i najczęściej atakuje organizacje z USA, zwłaszcza sektory opieki zdrowotnej, usług biznesowych i przemysłu. Ich żądania okupu sięgają nawet 1,3 mln dolarów.

Odkryto nową lukę bezpieczeństwa w WinRAR, którą wykorzystuje grupa RomCom. Atak polega na manipulowaniu archiwami z zastosowaniem podsłuchanych plików wykorzystujących lukę w ścieżce dostępu. Zaleca się natychmiastową aktualizację WinRAR do wersji 7.13 w celu zminimalizowania ryzyka.

W ostatnich wydarzeniach medialnych Tesla zaprezentowała coraz bardziej zaawansowane wersje robotów Optimus. Pomimo braku konkretnej daty premiery, na niektórych stronach internetowych pojawiają się reklamy oferujące prezentacje zamówień na te produkty. Oszuści wykorzystują te strony sponsorowane do kradzieży pieniędzy od osób gotowych zapłacić za prezentacje, z pozoru reprezentujące oficjalne strony Tesli. Potencjalnie oszustwo może pozostać niezauważone do momentu oczekiwanej dostawy, co może potrwać miesiące lub lata. Istnieje podejrzenie, że zebrane dane kart płatniczych mogą być później wykorzystane do oszustw na innych stronach lub sprzedane dalej. Tesla monitoruje te fałszywe strony i wysyła żądania ich usunięcia, jednakże oszuści ciągle próbują wprowadzać w błąd użytkowników.

Efimer Trojan to złożone zagrożenie, które atakuje zarówno użytkowników indywidualnych, jak i środowiska korporacyjne poprzez wykorzystanie różnych technik, takich jak phishing, kompromitacja witryn WordPress oraz rozpowszechnianie spamu. Aby zapobiec zainfekowaniu, należy unikać pobierania plików torrent z nieznanych źródeł, zweryfikować nadawców maili i regularnie aktualizować bazy antywirusowe. Dla deweloperów i administratorów witryn ważne jest stosowanie środków zabezpieczających, takich jak regularna aktualizacja oprogramowania, stosowanie silnych haseł i autoryzacji dwuetapowej oraz ciągłe monitorowanie witryn pod kątem oznak naruszenia.

Analiza SocGholish Malware, który wykorzystuje systemy dystrybucji ruchu, takie jak Parrot TDS i Keitaro TDS, do przekierowywania użytkowników na podejrzane treści. Malware ten jest rozpowszechniany poprzez zainfekowane strony internetowe udające fałszywe aktualizacje dla przeglądarek internetowych i innych aplikacji. Ataki obejmują również wykorzystanie Keitaro TDS do dystrybucji bardziej zaawansowanych form złośliwego oprogramowania.

Cyberprzestępcy wykorzystujący złośliwe oprogramowanie SocGholish wykorzystują Systemy Dystrybucji Ruchu (TDS) do filtracji i przekierowywania użytkowników na podejrzane treści. Malware ten, nazywany również FakeUpdates, rozpowszechniany jest poprzez zainfekowane strony internetowe, udając fałszywe aktualizacje dla przeglądarek internetowych i innych programów. Ataki obejmują ustanowienie początkowego dostępu za pomocą SocGholish i sprzedaż tego dostępu różnorodnym klientom, w tym Evil Corp, LockBit, Dridex i Raspberry Robin. Keitaro TDS, powiązane z socjotechnicznymi operacjami rosyjskimi.

Referat na Black Hat USA 2025 porusza kwestie polityczności technologii, adaptacji kultury firm do technologii, rosnącego znaczenia sztucznej inteligencji oraz paradoksalnej kwestii sukcesu w cyberbezpieczeństwie, podkreślając konieczność ciągłej inwestycji w bezpieczeństwo cybernetyczne.

Atak cybernetyczny ShinyHunters na dane Salesforce dotknął Google oraz inne firmy, skupiając się na kradzieży danych i szantażu. Eksperci ostrzegają przed możliwym eskalowaniem działań przestępców.

Zalecenia ZDNET: Co dokładnie oznacza? Recenzje VPN z antywirusem od experów. Przegląd Surfshark, NordVPN, Private Internet Access i CyberGhost. Wybór odpowiedniego pakietu VPN z antywirusem w oparciu o potrzeby użytkownika.

ZDNET prezentuje swoje rekomendacje, które opierają się na starannie przeprowadzonych testach, badaniach i porównaniach. Artykuł omawia różne rekomendowane programy antywirusowe, takie jak Bitdefender Total Security, Norton Antivirus Plus, McAfee Plus, Surfshark One i ESET Protect, podkreślając ich zalety, ceny oraz dostępne funkcje z zakresu ochrony przed różnego rodzaju zagrożeniami cybernetycznymi. Poruszane są również kwestie dotyczące bezpieczeństwa w cyberprzestrzeni, rekomendacje dotyczące wyboru oprogramowania antywirusowego oraz informacje o aktualnym zagrożeniu w postaci cyberprzestępczości.

Analiza danych z ostatnich trzech miesięcy ujawniła zaskakujące wyniki dotyczące ataków na czujnik DShield, w których przeważał ruch z Panamy. ASN 43350 związane z dostawcą NForce Entertainment wskazało się jako główny źródło tych działań, które mogą stanowić wysokie ryzyko oszustw i złośliwego oprogramowania. Author zaleca zastosowanie konkretnych działań obronnych, takich jak monitorowanie aktywności SSH i użycie autentykacji opartej na kluczach.

Nigeriański mężczyzna, oskarżony o hakerstwo, oszustwa i kradzież tożsamości, został ekstradowany do USA z Francji. Oskarżony, Chukwuemeka Victor Amachukwu, uczestniczył w szeregach przestępczych działalności, osiągając zyski kosztem innych poprzez kradzież tożsamości, hakerstwo komputerowe i fałszywe inwestycje. FBI oraz inne organy ścigania są gotowe przetransportować przestępców do Stanów Zjednoczonych, by ponieśli odpowiedzialność za swoje czyny.

W artykule omawiana jest kwestia przechodzenia od haseł do passkeys oraz różnica między synchronizowanymi i niesynchronizowanymi passkeys. Rozważana jest także rola roaming authenticators w zapewnianiu zabezpieczenia i wygody przy korzystaniu z passkeys. Decyzja dotycząca wyboru najlepszego rozwiązania zależy od indywidualnych potrzeb i bezpieczeństwa.

W ciągu ostatnich sześciu miesięcy skomplikowanie narzędzi wykorzystywanych przez sprawców zagrożeń do atakowania ich celów wzrosło o 127%. Według raportu firmy OPSWAT, główne czynniki tego wzrostu to zależność od łańcuchowania lekkich, zasłoniętych skryptów w celu uniknięcia wykrycia oraz wykorzystanie techniki 'ClickFix' zwiększającej użyteczność ataków. Obserwowano również przesunięcie w stronę strategii ataków opartych na precyzji, faworyzujących skrytość i unikanie wykrycia.

Modowe giganty Chanel i Pandora ujawniły wycieki danych klientów, będące częścią ataków na konta Salesforce. Naruszenia obejmują m.in. dane kontaktowe i zdarzyły się za sprawą trzecich platform. Istnieje podejrzenie, że ataki są częścią większej kampanii wyłudzania danych.

Artykuł informuje o potwierdzeniu przez firmę Pandora wycieku danych z zewnętrznych źródeł oraz ostrzega przed próbami phishingu. Wskazuje na konieczność ochrony przed atakami internetowymi i zachęca do kontaktu z właścicielem strony w razie zablokowania dostępu.

Często trudno odróżnić atak phishingowy od prawdziwej komunikacji. Troy Hunt, założyciel Have I Been Pwned, ogłasza partnerstwo z Guardio, oferując nowe narzędzie obrony przed tego rodzaju atakami. Celem jest zapewnienie bezpieczeństwa użytkownikom w przypadku niepowodzenia kontroli ludzkich. Guardio będzie dostępny na stronie partnerów platformy.

W ramach zaawansowanych kampanii smishingowych chińskie syndykaty mogą skompromitować nawet 115 milionów kart płatniczych w USA, co generuje miliardowe straty finansowe. Badacze zwracają uwagę na nowatorskie metody wykorzystywane przez cyberprzestępców oraz ewolucję działań, które obejmują m.in. fałszywe operacje e-commerce oraz ataki na konta brokerskie.

Nowy raport ujawnia gwałtowny wzrost aktywności zagrażającej cybernetycznej ze strony grup hakerskich sprzyjających Iranowi, która towarzyszyła 12-dniowej wojnie z Izraelem. Analiza 250 000 wiadomości Telegram pozwoliła na odkrycie działań takich jak zbieranie informacji wywiadowczych, propagandę oraz bezpośrednie ataki na kluczową infrastrukturę i instytucje publiczne.

Ekspert ds. cyberbezpieczeństwa analizuje i tłumaczy artykuł dotyczący wyboru najlepszych aplikacji do zainstalowania na nowym komputerze w celu poprawy wydajności i bezpieczeństwa online.

Nowy typ złośliwego oprogramowania opartego na Pythonie o nazwie PXA Stealer został zidentyfikowany jako część szeroko zakrojonej kampanii cyberprzestępczej, kradnącej wrażliwe dane z ofiar w ponad 60 krajach. Operacja „Duch w archiwum”, obserwowana przez badaczy bezpieczeństwa od końca 2024 roku, wskazuje na ewolucję prowadzenia operacji infostealera, dążących do tajności i skalowalności.

Znaczący wzrost ruchu internetowego na stronach związanych z sztuczną inteligencją świadczy o zmianie sposobu interakcji użytkowników z AI. Przeglądarki wciąż pozostają głównym narzędziem dostępu do narzędzi generatywnej AI, co wiąże się z koniecznością zwiększonej uwagi na aspekty bezpieczeństwa w środowisku cyfrowym.

W pierwszej połowie 2025 roku nastąpił znaczący wzrost intruzji w chmurze, wynoszący już o 136% więcej niż w całym 2024 roku. China jest głównym aktorem atakującym te środowiska, wykorzystując relacje zaufania i zaawansowane techniki.

Microsoft odkrył nową operację szpiegowską prowadzoną przez rosyjskiego aktora państwowego o nazwie Secret Blizzard, skierowaną na ambasady w Moskwie. Grupa wykorzystuje zaawansowane techniki, w tym pozycję aiTM, aby zainstalować złośliwe oprogramowanie ApolloShadow na urządzeniach dyplomatycznych, zwiększając tym samym ryzyko dla podmiotów operujących w Rosji.

Microsoft zakończył możliwość zarządzania hasłami w aplikacji Authenticator na rzecz kluczy dostępowych. Proces ten ma związek z globalną zmianą związaną z porzuceniem haseł na rzecz bardziej bezpiecznych kluczy. Warto śledzić rozwój technologii zarządzania poświadczeniami Microsoftu.

Nowa kampania phishingowa wykorzystuje usługi link wrapping do przechwytywania danych logowania poprzez maskowanie szkodliwych ładunków, udowadniając, jak groźni cyberprzestępcy potrafią wykorzystać legalne funkcje i narzędzia w swoim działaniu.

Specjaliści od cyberbezpieczeństwa ujawnili szczegóły nowej kampanii phishingowej, której celem jest ukrycie szkodliwych ładunków poprzez nadużycie usług owijania linków od Proofpoint i Intermedia w celu obejścia systemów obronnych. Atakujący wykorzystują przebraną stronę logowania do Microsoft 365, aby przechwycić dane logowania użytkowników. Zauważono również wzrost ataków phishingowych wykorzystujących pliki SVG oraz fałszywe linki do wideokonferencji Zoom w celu kradzieży danych uwierzytelniających.

Złośliwe oprogramowanie DoubleTrouble stanowi poważne zagrożenie dla użytkowników bankowości internetowej w Europie ze względu na nowe metody dostarczania i rozbudowane funkcje, takie jak nagrywanie ekranu w czasie rzeczywistym i podszywanie się pod aplikacje bankowe.

Najnowszy artykuł dotyczący cyberbezpieczeństwa analizuje rosnące zagrożenia w cyberprzestrzeni i wartość ochrony endpointów. SentinelOne, jako lider w dziedzinie bezpieczeństwa opartego na AI, oferuje kompleksowe rozwiązania obejmujące szeroki zakres ochrony, umożliwiające szybkie reagowanie na ataki i minimalizujące ryzyko. Platforma Singularity zapewnia uczestnikom rynku ochronę na wszystkich urządzeniach, systemach operacyjnych i w chmurze, skupiając się na efektywnej detekcji zagrożeń i operacyjnej odporności. SentinelOne wyróżnia się innowacyjnym podejściem do cyberbezpieczeństwa, opartym na sztucznej inteligencji i automatyzacji.

Cyberbezpieczeństwo staje przed coraz większym wyzwaniem w obliczu rosnącej liczby i złożoności zagrożeń, takich jak ransomware. Ważne jest zapewnienie odpowiedniego zabezpieczenia końcówek dzięki platformie zasilanej SI, takiej jak SentinelOne. Firma ta zdobyła uznanie Gartnera jako Lider w Magicznym Kwadrancie 2025 dla Platform Ochrony Końcówek. Działając na wielu frontach, od ochrony przed atakami cybernetycznymi po zapewnienie integralności danych w sektorach finansowym i opieki zdrowotnej, platforma Singularity firmy SentinelOne oferuje innowacyjne i kompleksowe rozwiązania AI dla organizacji.

Zatrzymano cztery osoby związane z grupą Scattered Spider, co spowodowało zastój w ich działalności cyberprzestępczej. Inne podobne grupy mogą kontynuować działania, wykorzystując zaawansowane techniki inżynierii społecznej i nowe narzędzia ransomware.

Google przedstawia nowe narzędzia zapobiegające cyberatakowitm, w tym passkeye i Device Bound Session Credentials, mające na celu zwiększenie bezpieczeństwa użytkowników poprzez zabezpieczenie przed phishingiem i kradzieżą tokenów autoryzacyjnych.

Średni globalny koszt naruszenia danych spadł o 9% do 4,44 mln dolarów w 2025 roku, co stanowi pierwszy spadek od pięciu lat wg raportu IBM. Poprawa wykrywania i zawierania naruszeń, wsparta narzędziami AI i automatyzacją, jest przyczyną tego spadku.

W drugiej połowie 2024 roku rosyjski przemysł IT oraz wiele innych podmiotów padło ofiarą znaczącego ataku cybernetycznego. Atakujący wykorzystali różne techniki, takie jak podszywanie się pod profile na platformach społecznościowych w Rosji i za granicą, aby dostarczyć informacje o swoim ładunku poprzez popularne serwisy z treściami tworzonymi przez użytkowników. Kampania była aktywna głównie w listopadzie i grudniu 2024 roku, ale trwała do kwietnia 2025. Używano przekształconych wersji starannie dobranych próbek Cobalt Strike Beacon. Atakujący wykorzystywali również różnorodne techniki, takie jak DLL Hijacking, do ukrycia swoich działań i uniknięcia wykrycia.

Analiza i rekomendacje dotyczące usług usuwania danych opartych na testach, badaniach i porównywaniu. W artykule przedstawione są polecane usługi, takie jak Incogni, DeleteMe czy Privacy Bee, ich ceny, funkcje oraz opinie użytkowników. Ponadto omówiono, jak chronić swoją prywatność online i skutecznie usuwać dane z internetu.