Meta přitvrdila proti scamovým centrům
Meta během společné akce s policií a vyšetřovateli z několika zemí odstavila více než 150 tisíc účtů napojených na podvodnická centra v jihovýchodní Asii. Jak firma popsala ve svém oficiálním oznámení, zásah proběhl ve spolupráci s thajskou policií, FBI i dalšími partnery a vedl také k 21 zatčením.
Nejde přitom o izolovaný incident, ale o pokračování tlaku na takzvané scam compounds, které z podvodů udělaly průmysl. Podobné sítě operují hlavně v Kambodži, Myanmaru a Laosu a fungují jako normální firmy: mají operátory, skripty, infrastrukturu i jasně měřené cíle. Prosincová pilotní akce už dříve vedla k odstranění dalších 59 tisíc účtů, stránek a skupin.
Současně Meta rozšiřuje i obranu přímo v produktech. WhatsApp bude nově varovat před podezřelým párováním zařízení přes QR kód, Facebook testuje upozornění na podezřelé žádosti o přátelství a Messenger ve více zemích nabídne kontrolu podezřelých konverzací pomocí AI.
Pro společnost je to i přiznání rozsahu problému. Meta uvádí, že jen loni odstranila přes 159 milionů podvodných reklam a zablokovala 10,9 milionu účtů spojených se scamovými centry. Z pohledu uživatelů je důležitá hlavně změna optiky: sociální sítě už scam neřeší jen jako závadný obsah, ale jako organizovaný zločin s mezinárodní infrastrukturou.
SocksEscort rozebraly úřady na obou stranách Atlantiku
Mezinárodní operace s krycím názvem Operation Lightning zasáhla jednu z největších zneužívaných rezidenčních proxy sítí posledních let. Podle amerického ministerstva spravedlnosti úřady zabavily 34 domén a 23 serverů v sedmi zemích a tím rozložily službu SocksEscort, která prodávala anonymizační konektivitu postavenou na kompromitovaných routerech.
Síť byla poháněná linuxovým malwarem AVRecon a dlouhodobě se opírala o malé kancelářské a domácí routery. V únoru 2026 bylo podle amerických úřadů v aktivní nabídce ještě asi 8000 zařízení, z toho 2500 ve Spojených státech. Službu přitom využívalo přibližně 124 tisíc zákazníků.
Zásah nebyl jen symbolický. Síť nabízela IP adresy ve 163 zemích a její provozovatelé ji otevřeně prodávali jako cestu, jak obejít seznam blokovaných domén a působit důvěryhodněji při podvodech.Americké úřady zmiňují konkrétní škody od milionové krádeže kryptoměn po podvody na výrobní firmě a držitelích vojenských platebních karet.
Interpol odstavil 45 tisíc škodlivých IP adres
Interpol zveřejnil výsledky operace Synergia III, která probíhala od července 2025 do ledna 2026 a zaměřila se na infrastrukturu používanou pro phishing, malware a ransomware. Podle oficiálního oznámení Interpolu se do akce zapojilo 72 zemí a podařilo se vyřadit více než 45 tisíc škodlivých IP adres a serverů. Do operace se zapojily i firmy jako Group-IB, Trend Micro a S2W, které pomáhaly s identifikací infrastruktury a vazeb mezi kampaněmi.
Operace je zajímavá hlavně svou šíří. Kromě samotného odstavování infrastruktury vedla operace také k 94 zatčením, zatímco dalších 110 osob zůstává ve vyšetřování. Interpol zmiňuje například 10 zatčených v Togu, kde skupina kombinovala průniky do účtů se sextortion a romance scamem nebo 40 lidí zadržených v Bangladéši kvůli podvodům s půjčkami a falešnými pracovními nabídkami.
V Macau pak vyšetřovatelé identifikovali přes 33 tisíc phishingových a podvodných webů napodobujících kasina, banky, státní správu i platební služby.
Slopoly ukazuje levnější cestu k vlastním malwarům
Výzkumníci IBM X-Force popsali nový malware Slopoly, který podle nich velmi pravděpodobně vznikl s pomocí generativní AI a byl nasazen v útoku spojeném se skupinou Hive0163. Jak uvádí IBM, útočníci ho použili v rané fázi roku 2026 během incidentu s ransomwarem Interlock, kde jim pomohl udržet přístup na kompromitovaném serveru déle než týden.
Útok započal přes ClickFix, tedy sociálně-inženýrskou techniku, která oběť přiměje sama spustit škodlivý PowerShell. Ten následně stáhl další komponenty a ve vyšší fázi řetězce se objevil právě Slopoly jako zadní vrátka pro komunikaci s C2 infrastrukturou. Výzkumníci si všimli neobvykle „učesaného“ kódu, rozsáhlých komentářů, strukturovaného logování a proměnných pojmenovaných tak, jak to bývá častější u velkých jazykových modelů než u člověkem vytvořeného kódu.
Současně ale nejde o žádný technologický zázrak. Skript se sice sám označuje jako „polymorfní“, ve skutečnosti však neumí měnit vlastní kód za běhu a technicky působí spíš průměrně. Právě to je na celé věci nejzajímavější: k použitelnému malwaru už zjevně není nutná vysoce specializovaná vývojářská práce.
Slopoly tak není varováním před „superinteligentním“ malwarem, ale před zlevněním a zrychlením jeho výroby.
Dvě nové zero-day v Chromu
Google vydal mimořádné opravy pro dvě nově zneužívané zranitelnosti CVE-2026–3909 a CVE-2026–3910 v Chromu, obě s vysokou závažností a s potvrzeným nasazením v reálných útocích.
První se týká grafické knihovny Skia a jde o out-of-bounds write, druhá leží v enginu V8 pro JavaScript a WebAssembly. Obě zranitelnosti mohou otevřít cestu k pádu prohlížeče, narušení paměti nebo spuštění kódu přes speciálně připravenou stránku.
Opravy dorazily ve verzích 146.0.7680.75 pro Windows a Linux, respektive 146.0.7680.76 pro macOS. Google tradičně nezveřejnil technické detaily ani scénáře zneužití, což je u aktivních zero-day pochopitelné: veřejný rozbor by v první chvíli pomohl spíš útočníkům než obráncům.
CrackArmor otevírá cestu k rootu i útěku z kontejneru
Qualys zveřejnil sadu devíti zranitelností v AppArmor, které souhrnně označil jako CrackArmor. Podle výzkumníků z Qualys TRU jde o zranitelnosti typu confused deputy, jež umožňují neprivilegovanému lokálnímu uživateli obejít ochrany jádra, získat root oprávnění a narušit izolaci kontejnerů. Slabiny se v kódu nacházejí od roku 2017.
Podstata problému je v manipulaci s pseudo-soubory jako /sys/kernel/security/apparmor/.load, .replace a .remove. Útočník dokáže přimět důvěryhodné procesy, aby za něj provedly operace, k nimž by se sám nedostal. Důsledkem může být nejen lokální eskalace práv, ale také odstranění ochranných profilů, nahrání „deny-all“ pravidel nebo dokonce kernel panic vyvolaný rekurzivním vyčerpáním zásobníku. Závažnost zvyšuje fakt, že AppArmor je výchozí bezpečnostní vrstvou v řadě distribucí a prostředí včetně Ubuntu.
Ve zkratce
- Zombie ZIP obchází bezpečnostní nástroje
- Ukradené míle živí černý trh
- Kyberútok mířil na polské jaderné centrum
- Veeam řeší kritické chyby v Backup & Replication
- Útočníci hromadně skenují Salesforce Experience Cloud
- Kritický bypass v Aruba AOS-CX
- FBI hledá oběti malwaru šířeného přes hry na Steamu
- APT28 špehuje Ukrajinu malwarem BEARDSHELL a COVENANT
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU