WhastsAppem k malware
Společnost Microsoft upozorňuje na novou kampaň, která s pomocí aplikace WhatsApp rozesílá VBS skripty. S využitím sociálního inženýrství, legitimních nástrojů operačního sytému a důvěryhodných platforem se aktivita skryje jako běžný síťový provoz, čímž zvyšuje pravděpodobnost úspěšného útoku.
Aktivita začíná distribucí škodlivých souborů VBS prostřednictvím zpráv WhatsApp. Ty po spuštění vytvářejí skryté složky v adresáři C:\ProgramData, kam umisťují přejmenované verze legitimních utilit systému Windows, jako je curl.exe (přejmenovaný na netapi.dll) a bitsadmin.exe (přejmenovaný na sc.exe). Po získání počátečního přístupu se útočníci snaží získat trvalý přístup a eskalovat oprávnění. Posledním krokem je instalace vlastních balíčků MSI na napadené systémy.
Toho útočníci dosahují stahováním pomocných souborů VBS hostovaných na AWS S3, Tencent Cloud a Backblaze B2 pomocí přejmenovaných binárních souborů. Další aktivity zahrnují pokusy o manipulaci s UAC, pokusy o spuštění cmd.exe s vyšším oprávněním nebo manipulaci s položkami registru v HKLM\Software\Microsoft\Win. V původním článku najdete také celou řadu doporučení na miitigaci útoku.
Silver Fox rozšiřuje svou kybernetickou kampaň
Čínská hackerská skupina Silver Fox rozšiřuje kybernetické útoky v Asii pomocí falešných webů napodobujících známé aplikace: Zoom, Signal, Telegram, Surfshark VPN, Microsoft Teams a další. Celkem bylo potvrzeno 11 doručovacích domén (např. app-zoom.com, signal-signal.com, telegrtam.com.cn), přičemž většina byla zaregistrována ve stejný den – 27. října 2025 – což naznačuje koordinovanou přípravu kampaně.
Oběti jsou lákány na typosquattingové domény, kde si stáhnou ZIP-archiv se škodlivým instalátorem, který spustí nový trojan AtlasCross RAT. Ten šifruje komunikaci s řídicím serverem přes ChaCha20 s náhodně generovanými klíči pro každý paket. K obcházení antivirové ochrany využívá vlastní framework PowerChell – nástroj napsaný v C/C++, který přímo v procesu malwaru hostuje .NET CLR a před spuštěním jakýchkoliv příkazů deaktivuje AMSI, ETW, režim omezeného jazyka a logování ScriptBlock. Kromě toho se trojan vkládá do WeChatu, zachytává RDP relace, aktivně ukončuje připojení čínských bezpečnostních produktů (360 Safe, Huorong, Kingsoft, QQ PC Manager) a udržuje přítomnost v systému pomocí plánovače úloh.
AtlasCross představuje evoluci dřívějších nástrojů skupiny postavených na Gh0st RAT – konkrétně ValleyRAT (Winos 4.0). Paralelně Silver Fox využívá legitimní RMM nástroj SyncFuture TSM a Python-stealer maskovaný jako WhatsApp. Útoky cílí na organizace v Japonsku, Indii, Malajsii, Thajsku a dalších zemích regionu – především na manažerský a finanční personál. Všechny škodlivé balíčky jsou podepsány jedním ukradeným EV certifikátem vietnamské společnosti, což pomáhá obcházet bezpečnostní kontroly.
RAT v Axios NPM
V úterý 31. března došlo k dalšímu vážnému incidentu v rámci koordinovaného útoku na dodavatelský řetězec. Cílem byl javascriptový NPM balík Axios, populární knihovna, která má přes 100 milionů stažení týdně. K útoku došlo po kompromitaci npm účtu autora projektu a hlavního vývojáře Jasona Saaymana a následném publikování škodlivých verzí. Nové verze 1.14.1 (latest) a 0.30.4 (legacy) obsahovaly pouze novou závislost plain-crypto-js@4.2.1, jejímž účelem bylo spuštění postinstall skriptu, který na systém nainstaloval Remote Access Trojan.
Asi 18 hodin před samotným útokem došlo k publikování neškodné verze plain-crypto-js@4.2.0 útočníkem z profilu nrwise@proton[.]me. To vytvořilo záznam v historii a snížilo tak pravděpodobnost odhalení automatickými skenery. Útok započal 21 minut po půlnoci 31. března a byl aktivní tři hodiny, po kterých byly škodlivé verze definitivně odstraněny z npm.
Po stažení verze plain-crypto-js@4.2.1 došlo k exekuci postinstalačního skriptu node setup.js sloužícího jako dropper. Malware používal dvě metody obfuskace pro pokusy uniknout detekci – reverzní base64 a XOR. Po spuštění začal s enumerací systému a v závislosti na platformě stáhl příslušný RAT. Poté za sebou zametl stopy a po skončení všech aktivit adresář node_modules/plain-crypto-js vypadal jako neškodná knihovna.
RAT samotný po instalaci začal prohledáváním disku s cílem najít API klíče, soukromé SSH klíče a hesla, soubory .env a ostatní cennosti. Prohledával také běžící procesy a nálezy posílal na C2 server sfrclak[.]com:8000, odkud byl také stahován na zasažené systémy.
Podle nejnovějšího vývoje stopy aktérů vedou do Severní Koreje, konkrétně Google Threat Intelligence Group aktivitu přisuzuje APT skupině UNC1069.
Používáte-li npm knihovnu axios, co nejdříve proveďte downgrade na verzi 1.14.0 nebo 0.30.3. Pokud na systému naleznete artefakty po RAT, důrazně se doporučuje vyměnit veškeré přihlašovací údaje, všechny klíče, OAuth tokeny, hesla a API klíče.
Kritická chyba v Chrome je již aktivně zneužívána.
Google vydal 21 záplat, které opravují chyby v jeho prohlížeči Chrome. Nejkritičtější z nich je CVE-2026–5281, která umožňuje spustit kód v prohlížeči pomocí vhodně naformátované HTML stránky. Exploit této chyby již existuje. Aktualizujte tedy Chrome alespoň na verzi 146.0.7680.177/178 (Nápověda → O aplikaci Google Chrome). Pokud používáte jiné prohlížeče založené na Chromiu, jako je například Brave, Opera, Vivaldi, nebo Microsoft Edge, sledujte, kdy se objeví aktualizace a okamžitě je aplikujte.
Únik dat z Evropské komise: incident zasáhl platformu Europa.eu
Evropská komise v prohlášení z 27. března oznámila, že není vyloučeno, že hackeři při kybernetickém útoku z 24. března odcizili data z cloudové infrastruktury, na které je hostována její platforma Europa.eu.
„Rychlá reakce komise nicméně zajistila, že byl incident pod kontrolou a byla zavedena opatření ke zmírnění rizik s cílem ochránit služby a data, aniž by byla narušena dostupnost webových stránek Europa. Podle prvotních zjištění v rámci probíhajícího vyšetřování byla získána data z těchto webových stránek. Útvary komise stále dopady celého incidentu vyšetřují.“ pokračovala komise.
Komise uvedla, že její „vnitřní systémy“ nebyly útokem ovlivněny a že bude situaci i nadále monitorovat, analyzovat incident a využívat veškerá zjištění k „dalšímu posílení svých schopností v oblasti kybernetické bezpečnosti“.
Podle snímků obrazovky zveřejněných na sítí X.com vyděračská skupina ShinyHunters tvrdí, že získala přes 350 GB dat Evropské komise, včetně dat z poštovních serverů, databází, důvěrných dokumentů, smluv a dalších citlivých materiálů. Shinyhunters zároveň zveřejnila snímky obrazovky na kterých jsou údajně zobrazeny identifikační údaje zaměstnanců.
Zatím není jasné, jak k incidentu došlo, nicméně skupina ShinyHunters je známá svojí specializací na vishing. Při některých předchozích útocích se při hovorech s oběťmi vydávala za IT helpdesk a podvodem je přiměla k zadání přihlašovacích údajů na phishingové stránky tvářící se jako legitimní firemní portály.
Aktuální zprávy nicméně naznačují, že incident se týkal dat hostovaných v prostředí AWS. Poskytovatel cloudových služeb ale potvrdil, že jeho služby nebyly dotčeny. Nepotvrzené zprávy na sociálních sítích také naznačují, že mohla být zasažena i bezpečnostní agentura EU ENISA.
Únik dat společnosti Cisco
Společnost Cisco byla postižena kyberútokem, při kterém útočníci využili ukradené přihlašovací údaje z nedávného útoku na dodavatelský řetězec Trivy. Tyto přihlašovací údaje posloužily k proniknutí do jejího interního vývojového prostředí, kde byl zcizen zdrojový kód patřící Cisco i jeho zákazníkům. Útok zahrnoval škodlivý GitHub Action plugin, který umožnil krádež přihlašovacích údajů a dat z desítek zařízení, včetně vývojářských stanic a AWS klíčů, jež byly následně zneužity.
Bezpečnostní pracovníci společnosti Cisco útok zastavili a izolovali postižené systémy. Následně dojde k odrotovávání přihlašovacích údajů a přeinstalování. Útok souvisí s kompromitací Trivy (jiného produktu), za kterou stojí skupina TeamPCP provádějící sérii útoků na platformy jako GitHub, PyPI nebo Docker, včetně LiteLLM a Checkmarx. Očekávají se další dopady tohoto útoku.
Phishingová kampaň vydávající se za CERT-UA cílí na organizace
Ukrajinský CERT-UA upozornil na phishingovou kampaň, ve které se útočníci vydávali za tuto bezpečnostní autoritu a rozesílali e-maily s varováním před kybernetickými útoky. Zprávy obsahovaly odkaz na stažení údajného „ochranného nástroje“, který byl ve skutečnosti škodlivý software distribuovaný prostřednictvím zaheslovaných archivů. Po spuštění došlo k instalaci malwaru AGEWHEEZE, což je vzdálený přístupový trojan (RAT) napsaný v jazyce Go, umožňující útočníkům plnou kontrolu nad zařízením, včetně spouštění příkazů, práce se soubory nebo sledování aktivity uživatele.
Malware komunikuje s řídicí infrastrukturou přes WebSockety a zajišťuje si perzistenci pomocí úprav systému, například plánovaných úloh nebo registrů Windows. Kampaň byla připisována skupině UAC-0255 a cílila na široké spektrum organizací, přičemž reálný dopad byl omezený. Útok však ukazuje rostoucí trend zneužívání důvěry v oficiální instituce a kombinaci sociálního inženýrství s technicky pokročilým malwarem.
Ve zkratce
- MS Teams budou automaticky odstraňovat EXIF data
- Závažná zranitelnost v libpng
- Zranitelnost ve Vimu
- Ups, Anthropic omylem zveřejnil přes 500 000 řádků kódu Claude Code nástroje
- Kritická zranitelnost CVE-2026–20093 v CISCO IMC umožňující útočníkům obejít ověření
- Ukázka efektivity využití AI v oblasti kyberbezpečnosti i nebezpěčí nasazení AI agentů v praxi
Pro pobavení
K čemu se taky může hodit dark web
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU