Cyberprzestępcy wykorzystują do ataków przekonujące animacje ekranowe, które zachęcają użytkowników do zaufania złośliwym witrynom i plikom.
Firma HP Inc. (NYSE: HPQ) opublikowała najnowszy raport Threat Insights, pokazujący jak cyberprzestępcy udoskonalają swoje ataki. Wykorzystują w nich profesjonalnie wyglądające animacje i łatwo dostepne narzędzia złośliwego oprogramowania. Analitycy HP ostrzegają: ataki łączą przekonujące elementy wizualne, regularnie aktualizowane złośliwe oprogramowanie oraz znane platformy, takie jak Discord. Pozwala to uniknąć wykrycia przez użytkowników i narzędzia bezpieczeństwa.
Raport analizuje rzeczywiste cyberataki i pomaga firmom na bieżąco śledzić najnowsze techniki hakerskie. Na podstawie danych z urządzeń wyposażonych w HP Wolf Security* analitycy zidentyfikowali następujące sposoby ataków:
- Sideloading bibliotek DLL omija skanery zabezpieczeń: Cyberprzestępcy podszywający się pod kolumbijską prokuraturę wysyłali do ofiar fałszywe ostrzeżenia prawne. Kierowały one użytkowników na fałszywą stronę rządową ze scrollowaną animacją, która prowadziła do „jednorazowego hasła” i zachęcała do otwarcia złośliwego pliku archiwum.
- Po otwarciu uruchamiał się folder zawierający ukrytą, złośliwie zmodyfikowaną bibliotekę dynamicznych linków (DLL), a w tle instalowało się oprogramowanie PureRAT, dając cyberprzestępcom pełną kontrolę nad urządzeniem. Próbki były bardzo trudne do wykrycia – średnio tylko 4% zostało wykrytych przez narzędzia antywirusowe.
- Fałszywa aktualizacja Adobe instaluje narzędzie zdalnego dostępu: Fałszywy plik PDF udający aktualizację Adobe przekierowuje użytkowników na stronę do odczytu plików PDF. Animacja pokazuje sfałszowany pasek instalacji. Użytkownicy pobierają zmodyfikowany plik instalujący ScreenConnect, legalne narzędzie zdalnego dostępu, który łączy się z serwerami cyberprzestępców i umożliwia przejęcie kontroli nad zainfekowanym urządzeniem.
- Złośliwe oprogramowanie rozprzestrzeniane przez Discord omija zabezpieczenia Windows 11: Cyberprzestępcy umieścili atak na znanej platformie Discord, by uniknąć tworzenia własnej infrastruktury i wykorzystać pozytywną reputację domeny. Przed wdrożeniem, złośliwe oprogramowanie modyfikuje zabezpieczenie pamięci Windows 11. Następnie dostarcza Phantom Stealer – oparty na subskrypcji program do kradzieży informacji sprzedawany na hakerskich rynkach. Ma gotowe funkcje kradzieży danych uwierzytelniających i finansowych, często aktualizowanych, by uniknąć wykrycia przez nowoczesne systemy zabepieczeń.
Patrick Schläpfer, Principal Threat Researcher w HP Security Lab, komentuje: „Cyberprzestępcy stosują dopracowane wizualnie elementy, takie jak fałszywe paski ładowania i okna logowania, by złośliwe strony wydawały się wiarygodne. Równocześnie wykorzystują gotowe, dostępne w ramach subskrypcji złośliwe oprogramowanie o szerokiej funkcjonalności, które aktualizowane jest tak często jak legalne programy. Dzięki temu cyberprzestępcy wyprzedzają narzędzia wykrywające zagrożenia i łatwiej omijają zabezpieczenia”.
Wraz z raportem analitycy HP opublikowali także artykuł odnośnie zagrożenia przejmowaniem plików cookie sesji, który porusza tematykę wykorzystywania skradzionych danych uwierzytelniających podczas ataków oraz rozprzestrzeniania się złośliwego oprogramowania typu infostealer wykradającego dane. Zamiast kraść hasła lub omijać uwierzytelnianie wieloskładnikowe (MFA), cyberprzestępcy przejmują pliki cookie, które potwierdzają, że użytkownik jest już zalogowany, co daje im natychmiastowy dostęp do wrażliwych systemów. Analiza HP wykazała, że ponad połowa (57%) najpopularniejszych rodzajów złośliwego oprogramowania w trzecim kwartale 2025 r. to programy kradnące informacje, które zazwyczaj mogą też kraść pliki cookie.
Dzięki rozpoznaniu zagrożenia, które ominęło narzędzia wykrywające i możliwościom jego izolacji w kontrolowanych warunkach, HP Wolf Security ma wgląd w najnowsze techniki stosowane przez cyberprzestępców. Dotychczas klienci HP Wolf Security kliknęli ponad 55 miliardów załączników wiadomości e-mail, stron internetowych i pobranych plików, nie zgłaszając żadnych naruszeń.
Raport, który analizuje dane z okresu od lipca do września 2025 r., szczegółowo opisuje, w jaki sposób cyberprzestępcy dywersyfikują metody ataków, by ominąć narzędzia wykrywające:
- Co najmniej 11% zagrożeń e-mailowych zidentyfikowanych przez HP Sure Click ominęło jeden lub więcej skanerów e-mailowych.
- Pliki archiwów były najpopularniejszym typem dostarczanych zagrożeń (45%), odnotowując wzrost o 5 pkt proc. (w porównaniu z drugim kwartałem), a cyberprzestępcy coraz częściej wykorzystują złośliwe pliki o rozszerzeniu .tar i .z do ataków na użytkowników.
- W trzecim kwartale 11% zagrożeń zatrzymanych przez HP Wolf Security stanowiły pliki PDF – wzrost o 3 punkty procentowe w porównaniu z poprzednim kwartałem.
Dr Ian Pratt, Global Head of Security for Personal System w HP Inc., komentuje: „Cyberprzestępcy wykorzystują legalne platformy, podszywają się pod znane marki i stosują przekonujące sztuczki wizualne, takie jak animacje. Nawet zaawansowane narzędzia wykrywające mogą przeoczyć niektóre zagrożenia. Zespoły ds. bezpieczeństwa nie są w stanie przewidzieć każdego ataku. Izolując interakcje wysokiego ryzyka – otwieranie niezaufanych plików i stron internetowych – organizacje zyskują zabezpieczenie, które zatrzyma atak, zanim spowoduje szkody, nie powodując jednocześnie utrudnień dla użytkowników”.
Raport dostępny jest tutaj.
Obserwuj nas na Google News
Zobacz również:
- Hune Brisa Bluetooth Ocean Blue – lekkie, przewiewne i stworzone do aktywności. Moja recenzja!
- Ultra-lekkie, wygodne i czyste w rozmowach – testuję Creative Chat Wireless w pracy!
- Jakie akcesoria do telefonu warto kupić? Testujemy produkty Gepard i MyScreen!
Informacje o danych
Dane te zostały zebrane od klientów HP Wolf Security, którzy wyrazili na to zgodę, w okresie od lipca do września 2025 r. w ramach badań przeprowadzonych przez zespół analityków HP.
