Investiční podvody Nomani na vzestupu kvůli reklamám
O podvodech využívajících známé tváře jsme již na Rootu psali, dnes se podíváme na nová fakta a shrnutí, která vycházejí ze zprávy společnosti ESET. Tento druh investičních podvodů s názvem Nomani (od fráze „No Money“) se stal mezi podvodníky velmi oblíbeným a kvůli inzerci na sociální síti Facebook se počet případů zvýšil o 62 % oproti minulému roku. Dobrou zprávou je, že ve druhém pololetí roku 2025 naopak případů ubylo o 37 %, a to díky efektivním metodám hlášení a včasným zásahům bezpečnostních složek a policie.
Podvodníci stále více využívají AI pro tvorbu webových stránek a jejich deepfakes s populárními osobnostmi jsou dnes realističtější kvůli lepší synchronizaci hlasu a pohybů i celkově věrohodnějšímu chování. Pokud důvěřivec vyplní osobní údaje do formuláře pod článkem na falešném Seznamu, Novinkách nebo jiném klonu populárních internetových novin, bývá kontaktován podvodníky vydávajícími se za finanční poradce, kteří nešťastníkovi „pomohou“ se založením účtu a prvními investicemi. Chce-li oběť později neexistující zisky vybrat, musí zaplatit fiktivní poplatky. Ruku v ruce s Nomani jdou i podvody typu „recovery scam“, které poškozeným slibují za úplatu pomoc s vymáháním ztracených peněz, což vede k dalším finančním ztrátám.
Za rok 2025 se podařilo zablokovat přes 64 000 unikátních URL spojených s Nomani. Většina hlášení pochází z Česka, Slovenska, Polska, Španělska a Japonska. Vyšetřování agentury Reuters odhalilo, že skoro pětina příjmů společnosti Meta z Číny za rok 2025 pochází z malvertisingu – inzerce reklam na falešné investiční platformy. Z dalšího vyšetřování Reuters vyplývá, že v předchozím roce pocházelo z malvertisingu celosvětově také 10 % celkových příjmů společnosti Meta z reklam.
Velká vánoční krypto loupež
Skrze podvrženou aktualizaci prohlížečového rozšíření se podařilo útočníkům během Vánoc ukrást virtuální měny v hodnotě přibližně 7 milionů dolarů z asi dvou a půl tisíců kryptopeněženek Trust Wallet patřící společnosti Binance. Podle vyjádření společnosti útok umožnil uniklý API klíč Chrome Web Store – útočníci tak byli schopni zveřejnit aktualizaci rozšíření, která exfiltrovala uživatelská data na doménu api.metrics-trustwallet.com, pomocí nich byli útočníci schopni z kryptopeněženek odvádět obnosy.
Zajímavostí je, že kampaň předpokládala následné kroky ze strany Trust Wallet a po zveřejnění útoku byly obětem rozesílány phishingové stránky s informacemi o zabezpečení – ve skutečnosti však jejich cílem bylo z uživatelů vylákat recovery seed k peněžence.
Dvě rozšíření pro Chrome tajně kradla přihlašovací údaje
Bezpečnostní výzkumníci odhalili dvě škodlivá rozšíření pro Google Chrome s názvem Phantom Shuttle, která se vydávala za nástroj pro testování síťové rychlosti, ale ve skutečnosti fungovala jako man-in-the-middle proxy a tajně zachytávala přihlašovací údaje uživatelů z více než 170 webů.
Po zaplacení „VIP“ předplatného rozšíření automaticky přesměrovala vybraný provoz (včetně cloudových služeb, vývojářských platforem, sociálních sítí a dalších citlivých služeb) přes infrastrukturu útočníka, kde docházelo ke krádeži hesel, cookies, platebních údajů a API klíčů, přičemž e-mail a heslo uživatele byly pravidelně odesílány na řídicí server v nešifrované podobě.
Ransomwarový útok zasáhl rumunský vodohospodářský úřad
Rumunský národní vodohospodářský úřad Apele Române (Administrația Națională Apele Române) se aktuálně zotavuje z rozsáhlého ransomwarového útoku, který začal 20. prosince 2025. Podle tiskové zprávy Národního ředitelství pro kybernetickou bezpečnost (DNSC) bylo incidentem zasaženo přibližně tisíc počítačových systémů, včetně pracovních stanic, e-mailových služeb a webových serverů.
DNSC je oficiálním orgánem odpovědným za ochranu kritické národní infrastruktury. Útok se rozšířil z centrály a zasáhl 10 z 11 regionálních správ povodí. Výpadek ochromil databázové servery a servery DNS, e-mailové služby, webové servery a pracovní stanice se systémem Windows, geografické informační systémy (GIS) používané pro mapování vodohospodářských dat.
Předběžné vyšetřování naznačuje, že útočníci použili neobvyklou metodu uzamčení dat. Namísto vlastního malwaru zneužili BitLocker, legitimní bezpečnostní nástroj integrovaný ve Windows. Obrácením tohoto nástroje proti samotné organizaci zašifrovali data způsobem, který je obtížněji detekovatelný běžným bezpečnostním softwarem. Způsob prvotního průniku do sítě však zatím není znám.
Ransomwarový útok na Apele Române poukazuje na rostoucí trend: provozní technologie (OT), které řídí fyzickou infrastrukturu, se stále častěji stávají cílem kybernetických útoků. Vodárny, přehrady, úpravny vody a související OT prostředí kombinují síťové digitální systémy s fyzickými procesy, což z nich činí vysoce hodnotný cíl jak pro kyberzločince, tak pro aktéry napojené na státy.
Malware šířený přes GitHub cílí na vývojáře a komunitu OSINT
Kyberzločinci stále častěji zneužívají důvěryhodné platformy k šíření škodlivého kódu. Nejnovějším příkladem je malware PyStoreRAT, který se šíří prostřednictvím veřejných GitHub repozitářů a cílí zejména na technicky zdatné uživatele – vývojáře, analytiky a výzkumníky OSINT.
Útok ukazuje, že ani open-source prostředí není automaticky bezpečné a že důvěra v repozitář může být slabým článkem bezpečnostního řetězce.
Zranitelnost MongoDB aktivně zneužívána útočníky
Nově odhalená zranitelnost MongoDB, evidovaná jako CVE-2025–14847 (pojmenovaná MongoBleed, skóre CVSS 8,7), je aktivně zneužívána, přičemž po celém světě bylo identifikováno více než 87 tisíc potenciálně zranitelných instancí MongoDB.
Bezpečnostní analytik Joe Desimone zveřejnil proof-of-concept exploit pro tuto zranitelnost, která umožňuje neověřeným útočníkům získat obsah paměti serveru.
Zranitelnost má původ v implementaci dekomprese zpráv zlib serveru MongoDB. Ovlivňuje instance s povolenou kompresí zlib, což je výchozí konfigurace MongoDB. Tato zranitelnost postihuje veřejně dostupné instance a soukromé servery dostupné po síti. Zneužití může vést k postupné extrakci citlivých dat, jako jsou uživatelské údaje, hesla a klíče API.
Rádiové signály mohou poskytnout přístup do izolovaných zařízení
Nový výzkum ukazuje, že vestavěná zařízení bez rádiových modulů a senzorů mohou přijímat bezdrátové příkazy vzduchem. Útočník nejprve získá možnost spuštění kódu prostřednictvím škodlivé aktualizace firmwaru nebo problému v dodavatelském řetězci, poté může ovládat izolované zařízení bez fyzického přístupu.
Tři běžné hardwarové komponenty vytvářejí nezamýšlený rádiový přijímač. Deska plošných spojů obsahuje měděné cesty, které zachycují rádiovou energii na určitých frekvencích. GPIO piny určují, jak signály vstupují do čipu. Analogově-digitální převodník zaznamenává změny napětí a převádí je na data. Když rádiová energie proniká do cesty desky připojené k GPIO, uvnitř čipu se objevují změny napětí, které může ADC detekovat.
Tým výzkumníků otestoval 14 zařízení, včetně 12 komerčních produktů. Každé zařízení vykazovalo měřitelnou rádiovou citlivost v rozsahu od 300 do 1000 megahertzů při výkonu signálu kolem 1 miliwattu. Několik platforem dosáhlo poměru signál-šum nad 30 dB. Citlivost byla předvídatelná mezi kopiemi jednoho modelu a zůstala stabilní po dobu 24 hodin. Tým také testoval příjem dat pomocí manipulace zapnutí-vypnutí. Několik cest dosáhlo chybovosti bitů pod 1 % při výkonu kolem 10 miliwattů. Ve vzdálenosti tří metrů přenos 12 tisíc bitů nevykazoval žádné chyby. Ve vzdálenosti 20 metrů chybovost dosáhla 6,2 %. Systém fungoval i přes betonovou zeď bez přímé viditelnosti.
Kovové stínění blokovalo příjem v testech. Desky s nepřerušovanou uzemňovací rovinou vykazovaly o více než 20 dB nižší citlivost, ačkoli zbytkové citlivé cesty zůstaly. Monitorování spektra a úmyslné rušení by mohly být způsobem ochranných opatření.
Prolomení FreeBSD Jail
Dvojice výzkumníků si vzala na paškál FreeBSD’s Jail feature, mechanismus pro izolování na úrovni OS. V dnešní době je široce používaný, zajišťuje sandboxing pro nedozírnou paletu použití. Ale jak to tak s komplexními systémy bývá, je těžké je udržet a vyvíjet, aby v nich nevznikla skulinka. Co by se stalo, kdyby útočník získal v rámci Jailu přístup root? Dostal by se ven?
Z hodinové přednášky, přednesené na hamburském Chaos Communication Congressu, se dozvíte o neuvěřitelných 50 problémech, na které výzkumníci přišli, když systematicky procházeli dostupná rozhraní. Tým FreeBSD byl již zpraven a pracuje na nápravě.
Ve zkratce:
- Kritická zranitelnost v n8n (CVSS 9,9) umožňuje spuštění libovolného kódu napříč tisíci instancemi
- Cílená „quishing“ kampaň zneužívá QR kódy k útokům na zaměstnance
- Malware s platným certifikátem: Mustang Panda zavádí TONESHELL přes kernel-mode driver
- Kritická zranitelnost v LangChain Core ohrožuje tajná data
- Útoky typu watering hole zneužívají ScanBox keylogger k odcizení dat
Pro pobavení
Záplatoval jsem to, nebo se mi o tom jen zdálo?
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
