Raport zagrożeń Gen Q1/2025

W tym wydaniu raportu Gen Threat Report wprowadzamy bardziej przejrzysty format, który ułatwia przyswajanie informacji i skupia się na najważniejszych wydarzeniach, trendach i pojawiających się zagrożeniach, zamiast próbować katalogować każdy szczegół. Sekcja „Najważniejsze informacje o zagrożeniach” będzie zawierała informacje o godnych uwagi trendach i zmieniającej się dynamice zagrożeń, a sekcja „Artykuły polecane” będzie teraz bardziej szczegółowo omawiać konkretne dochodzenia.

---

Spis treści

• Przedmowa
• Najważniejsze informacje o zagrożeniach
  • Globalny przegląd ryzyka
  • Dane osobowe w niebezpieczeństwie: naruszenia bezpieczeństwa danych i złodzieje informacji
  • Oszustwa i wykorzystywanie mediów społecznościowych
  • Ransomware: zmieniające się pole bitwy
  • Wzrost zagrożeń mobilnych
• Najważniejsze wydarzenia: oszustwa, innowacje i nadużycie zaufania
  • Porwana inauguracja: jak CryptoCore wykorzystało deepfake’i do oszukania milionów
  • Ukryte zagrożenie atakami phishingowymi za pośrednictwem formularzy internetowych
  • Ewolucja ataków typu „oszukaj siebie”: inteligentniejsze, bardziej podstępne i wieloplatformowe
    • Sztuczne osobowości, fałszywe narzędzia finansowe i pułapka YouTube
    • FakeCaptcha staje się bardziej inteligentna (i bardziej wieloplatformowa)
• Podsumowanie

---

Przedmowa

Sytuacja w zakresie zagrożeń w pierwszym kwartale 2025 r. może dla niektórych być zaskakująca. Na pierwszy rzut oka spadek całkowitej liczby zablokowanych ataków w porównaniu z poprzednim kwartałem może wydawać się pozytywną zmianą. Jednak spadek ten nie jest wyłącznie sezonowy ani spowodowany zmniejszeniem aktywności atakujących. Co ważniejsze, spadek ten wskazuje na głębszą ewolucję taktyk: szeroko zakrojone kampanie typu „spryskaj i módl się” ustępują miejsca bardziej dostosowanym, podstępnym i uporczywym atakom. Zagrożenia, które pojawiły się w tym kwartale, są bardziej ukierunkowane, strategiczne i odzwierciedlają rosnącą wyrafinowanie atakujących.

Zagrożenia finansowe osiągnęły nowy poziom innowacyjności. Grupa CryptoCore przeprowadziła jedną ze swoich najbardziej wyrafinowanych kampanii, łącząc fałszywe filmy wideo przedstawiające osoby publiczne, przejęte konta YouTube i profesjonalnie sklonowane strony internetowe. Ta ostatnia kampania przyniosła szacunkowe nielegalne zyski w wysokości 3,8 mln dolarów z ponad 2200 transakcji (chociaż rzeczywista kwota jest prawdopodobnie znacznie wyższa). Nasiliły się również zagrożenia finansowe dla urządzeń mobilnych. Trojan bankowy Crocodilus, najbardziej aktywny w Hiszpanii i Turcji, wykorzystywał funkcje ułatwień dostępu do nakładania fałszywych stron logowania i kradzieży danych logowania do portfeli kryptowalut. Jednocześnie nasze analizy LifeLock wykazały wzrost liczby alertów kredytowych i transakcyjnych, co wskazuje zarówno na zwiększoną aktywność monitorującą, jak i częstsze próby oszustw wymierzonych w ślady finansowe użytkowników.

Zagrożenia związane z kradzieżą danych również nadal rosły w wielu kategoriach, zgodnie z naszymi danymi telemetrycznymi. Liczba incydentów naruszenia bezpieczeństwa danych — czyli przypadków, w których doszło do naruszenia bezpieczeństwa firmy lub platformy — wzrosła o ponad 36% w ujęciu kwartalnym, podczas gdy łączna liczba naruszonych rekordów — czyli danych osobowych, takich jak adresy e-mail, hasła, numery kart kredytowych itp. — wzrosła o ponad 186%. Podczas gdy na pierwszych stronach gazet pojawiały się informacje o naruszeniach bezpieczeństwa usług na dużą skalę, atakujący wykorzystywali również bezpośrednie przejmowanie danych użytkowników za pomocą programów do kradzieży informacji, takich jak Lumma Stealer (który został skutecznie wyeliminowany dzięki współpracy Europolu i Microsoftu). Ponadto phishing nadal odgrywał coraz większą rolę w naruszeniach bezpieczeństwa danych — udokumentowaliśmy, w jaki sposób przeciwnicy wykorzystują platformy do tworzenia formularzy o niskim poziomie kodowania do prowadzenia kampanii phishingowych w legalnej infrastrukturze, co znacznie utrudnia wykrywanie i usuwanie takich zagrożeń. Wreszcie, ransomware pozostało zagrożeniem wysokiego ryzyka, narastającym w ciągu ostatnich trzech kwartałów. Większość przypadków nadal była spowodowana przez znanego sprawcę, Magniber, ale pojawiły się również nowe odmiany, takie jak FunkSec. FunkSec, w szczególności, został rzekomo częściowo wygenerowany przy użyciu sztucznej inteligencji i dużych modeli językowych (LLM).

Zagrożenia związane z oszustwami charakteryzowały się znaczną dywersyfikacją i zasięgiem. Ochroniliśmy ponad 4 miliony osób przed atakami typu „Scam-Yourself”, które obecnie obejmują różne platformy i systemy operacyjne. FakeCaptcha, niegdyś ograniczona do systemu Windows, rozszerzyła się na system macOS i zaczęła rozpowszechniać znanego infostealera AMOS (Atomic Stealer) pod pozorem ochrony przed phishingiem. Touché. Ponadto media społecznościowe pozostały kluczowym wektorem oszustw, a zhakowane konta na Facebooku i YouTube były wykorzystywane zarówno do dystrybucji, jak i monetyzacji. Atakujący łączyli postacie generowane przez sztuczną inteligencję, zatrudniali influencerów i korzystali z natywnych systemów reklamowych platform, aby nadać fałszywym kampaniom pozory legalności. Równolegle ataki typu „Fake Update”, kolejny rodzaj ataków typu „Scam-Yourself”, w których użytkownicy są proszeni o aktualizację urządzeń lub programów, a zamiast tego są kierowani do zainfekowania swoich urządzeń, były skierowane przeciwko użytkownikom europejskim, powodując bezprecedensowy 17-krotny wzrost ryzyka w porównaniu z poprzednim kwartałem.

Mamy nadzieję, że raport Gen Threat Report za pierwszy kwartał 2025 r. okaże się dla Państwa interesujący i pouczający, a nowy format łatwy w odbiorze. Dziękujemy za lekturę.

Jakub Křoustek, dyrektor ds. badań nad zagrożeniami

Najważniejsze informacje o zagrożeniach

Chociaż lista najczęściej występujących rodzajów zagrożeń pozostaje taka sama lub prawie taka sama przez lata, krajobraz zagrożeń nieustannie ewoluuje wraz ze sposobami, w jakie osoby odpowiedzialne za zagrożenia działają, aby osiągnąć swoje złośliwe cele. Na zmiany w krajobrazie nieuchronnie wpływają nasze działania w świecie cyfrowym, od korzystania z mediów społecznościowych, przez zakupy i naukę online, po ostatnie wydarzenia mające wpływ na bezpieczeństwo naszego cyfrowego życia, takie jak naruszenia bezpieczeństwa danych.

W tej sekcji staramy się przedstawić informacje na temat pojawiających się zagrożeń, nowych technik i trendów oraz interesujących zmian w oczekiwanym zachowaniu globalnego krajobrazu zagrożeń.

Statystyki zagrożeń Gen Q1/2025

Globalny przegląd ryzyka

Globalny wskaźnik ryzyka: 24,53%

W pierwszym kwartale 2025 r. ryzyko cyberataków pozostało wysokie, a średni globalny wskaźnik ryzyka wyniósł 24,53%, co jest zgodne z podwyższonym poziomem obserwowanym pod koniec 2024 r. Jednak narażenie pozostało bardzo nierównomierne w poszczególnych regionach.

Wskaźnik ryzyka według krajów w pierwszym kwartale 2025 r.

Najwyższa aktywność zagrożeń skoncentrowała się w niektórych częściach Azji i Europy Wschodniej. Na czele listy znalazły się Chiny z wskaźnikiem ryzyka wynoszącym 48,60%, a następnie Gruzja (44,51%) i Wietnam (39,06%). Liczby te odzwierciedlają połączenie agresywnych ataków, niewystarczającej infrastruktury obronnej i wysokiego poziomu zaangażowania cyfrowego.

Natomiast główne gospodarki, takie jak Japonia (16,12%), Niemcy (20,11%) i Francja (24,93%), odnotowały znacznie niższe wskaźniki ryzyka, podczas gdy kraje skandynawskie, takie jak Finlandia (19,36%), Szwecja (22,14%) i Norwegia (23,96%), nadal wykazywały odporność na ataki dzięki dojrzałym praktykom w zakresie cyberbezpieczeństwa.

Ameryka Południowa pozostała regionem budzącym zainteresowanie, gdzie Brazylia (20,14%) i Argentyna (23,24%) odnotowały wzrost liczby zagrożeń dotyczących urządzeń mobilnych. Tymczasem kraje o ograniczonej infrastrukturze cyfrowej, takie jak Haiti (18,44%) czy Demokratyczna Republika Konga (16,24%), odnotowały zmniejszenie narażenia wyłącznie dzięki niższej penetracji Internetu.

10 krajów o najwyższym wskaźniku ryzyka

Dane osobowe w niebezpieczeństwie: naruszenia bezpieczeństwa danych i złodzieje informacji

Dane osobowe są dla przestępców niczym cyfrowe złoto, a zagrożenia dla tożsamości cyfrowej stale rosną. Według naszych danych telemetrycznych liczba przypadków naruszenia bezpieczeństwa danych — czyli sytuacji, w których doszło do włamania do firmy lub platformy — wzrosła o 36,12% w ujęciu kwartalnym. Liczba naruszonych rekordów wzrosła o 186,26%, a liczba naruszonych adresów e-mail użytkowników wzrosła o 102,93%. Zgłoszono ponad 1,19 mln rekordów o wysokim lub krytycznym stopniu zagrożenia, co oznacza, że wśród naruszonych rekordów znalazły się również hasła w postaci zwykłego tekstu, potencjalnie dające cyberprzestępcom dostęp do ponad miliona kont osobistych.

Naruszenia bezpieczeństwa danych na dużą skalę nie są już rzadkością. Do najważniejszych wydarzeń związanych z tożsamością cyfrową w pierwszym kwartale 2025 r. należały:

• USOSGM: ujawniono pełne nazwiska i adresy amerykańskich klientów.
• ALIEN TXTBASE: Ogromna kolekcja skradzionych danych uwierzytelniających użytkowników opublikowana na kanale Telegram — 493 miliony unikalnych par adresów stron internetowych i adresów e-mail, co dotyczy 284 milionów unikalnych adresów e-mail.

Jednym ze środków ochronnych, które zapewniamy naszym użytkownikom, jest powiadamianie ich o wystąpieniu poważnego naruszenia bezpieczeństwa i ujawnieniu ich danych osobowych lub możliwości ich naruszenia w wyniku niedawnego wycieku danych. Powiadomienia te dają naszym klientom możliwość odpowiedzialnej reakcji i zabezpieczenia swoich danych osobowych przed nieuczciwymi działaniami atakujących. W pierwszym kwartale 2025 r. wzrosła również liczba ostrzeżonych użytkowników, przy czym odnotowano znaczący wzrost w następujących obszarach:

• Ostrzeżenia kredytowe: +13,83%. Ostrzeżenia te dotyczą nowych kont, zapytań kredytowych, zmian w profilach kredytowych itp. i informują użytkowników w czasie rzeczywistym o potencjalnych próbach oszustwa lub podejrzanej aktywności.
• Ostrzeżenia o karalności: +11,98%. Są one związane z pojawieniem się tożsamości użytkowników w rejestrach prawnych lub karnych, w tym w sprawach sądowych, wyrokach i powiadomieniach o przestępstwach seksualnych. Alerty te informują użytkowników o potencjalnym nadużyciu ich tożsamości lub nieuprawnionych powiązaniach prawnych.
• Alerty transakcyjne: +3,04%. Alerty transakcyjne śledzą transakcje finansowe na rachunkach bankowych, kartach kredytowych i rachunkach inwestycyjnych użytkowników. Powiadomienia te zwracają uwagę na nietypowe opłaty, przekroczenie limitów lub wnioski o pożyczki do wypłaty.

W pierwszym kwartale 2025 r. wzrosła również liczba prób kradzieży danych za pomocą programów do kradzieży informacji, a wskaźnik ryzyka wzrósł o 8,24%, ponownie pod wpływem programu Lumma Stealer, który:

• odnotował wzrost udziału w rynku o 59,4%, osiągając obecnie 19,51%
• zbierał dane uwierzytelniające, portfele kryptowalutowe, tokeny 2FA
• dostarczane za pośrednictwem phishingu, nadużyć GitHub i ataków typu „Scam-Yourself”

Inne znaczące programy do kradzieży informacji pod względem udziału w złośliwym oprogramowaniu to:

• FormBook (12,47%)
• AgentTesla (10,99%)
• Ramnit, MassLogger, Fareit, SnakeKeylogger, Lokibot

Globalny wskaźnik ryzyka dla programów do kradzieży informacji w pierwszym kwartale 2025 r.

Regionami najbardziej dotkniętymi przez programy do kradzieży informacji były Turcja, Egipt, Indonezja i Argentyna.

Oszustwa i wykorzystywanie mediów społecznościowych

Oszustwa nadal ewoluują jako jedno z najbardziej rozpowszechnionych i elastycznych zagrożeń cybernetycznych, wykorzystując zarówno tradycyjne, jak i nowoczesne kanały dystrybucji. W pierwszym kwartale 2025 r. zaobserwowaliśmy, że oszuści wykorzystywali wszystko, od malvertisingu (złośliwych reklam) po platformy mediów społecznościowych i powiadomienia push, aby dotrzeć do potencjalnych ofiar. Ta szeroka powierzchnia ataku została wzmocniona przez bogactwo danych użytkowników dostępnych w Internecie, umożliwiając wysoce ukierunkowane i przekonujące oszustwa. Poniżej przedstawiamy niektóre z kluczowych trendów i taktyk kształtujących krajobraz oszustw w tym kwartale:

• Złośliwe powiadomienia push dostarczające oszustwa wzrosły o 10,26% w wskaźniku ryzyka dla Niemiec, a następnie dla Norwegii (+24,85%) i Danii (+22,42%).
• Oszustwa finansowe wzrosły o 500% w Libanie, 223% w Mołdawii, 112% w Portugalii oraz o kilkadziesiąt procent również na Słowacji, w Serbii, Estonii i Słowenii.

Media społecznościowe pozostały również ulubionym mechanizmem dostarczania oszustw i innych powiązanych rodzajów zagrożeń. W pierwszym kwartale 2025 r. 63% zagrożeń związanych z mediami społecznościowymi zaobserwowano na Facebooku, a następnie na YouTube, który miał 22% udziału w platformach. Platformy takie jak Reddit i Instagram pozostały istotnym zagrożeniem, podczas gdy X (dawniej Twitter) utrzymał się na stałym poziomie 7%. LinkedIn, serwis społecznościowy zorientowany na biznes i zatrudnienie, odnotował tendencję wzrostową, zwiększając swój udział o 26,23%.

Ataki przeprowadzane za pośrednictwem platform społecznościowych

Rodzaje zagrożeń wykrytych w poszczególnych serwisach społecznościowych różniły się w zależności od demografii użytkowników i wzorców użytkowania, przy czym złośliwe reklamy nadal stanowiły największy rodzaj zagrożeń w mediach społecznościowych (30% udziału), a następnie phishing (21,72%).

Trendy w zakresie oszustw w pierwszym kwartale ujawnione przez Norton Genie

Nasze narzędzie do wykrywania oszustw Norton Genie pokazuje różne rodzaje oszustw zgłaszanych przez użytkowników:

• Oszustwa ogólne: 51,4%
• Phishing: 31,9% z ogromnym czterokrotnym wzrostem w ujęciu kwartalnym
• Złośliwe reklamy: 2,41%

Rodzaje oszustw wykrytych przez Norton Genie

Ransomware: zmieniające się pole bitwy

Poziom zagrożenia ransomware pozostaje wysoki od IV kwartału 2024 r. W I kwartale 2025 r.:

• Dominowało oprogramowanie Magniber (67% przypadków ransomware i ponad 100 000 chronionych użytkowników)
• WannaCry i Enigma pozostawały daleko w tyle

Globalny wskaźnik ryzyka ransomware w pierwszym kwartale 2025 r.

Chociaż znaczący gracze nadal mają największy udział w zagrożeniach ransomware, na scenie pojawił się nowy gracz o nazwie FunkSec. Niektóre z jego narzędzi zostały najprawdopodobniej wygenerowane przez agenta LLM, co wskazuje, że narzędzia AI obniżają barierę tworzenia ransomware. Dotyczy to również szablonu kodu źródłowego, w którym komentarze są napisane w doskonałym angielskim (w przeciwieństwie do bardzo podstawowego angielskiego w innych mediach).

Według raportu Chainalysis, całkowita kwota okupów zapłaconych w ciągu roku spadła o około 35% w ujęciu rok do roku (r/r). Istnieje kilka powodów spadku liczby płatności — firmy dostosowały się do tego rodzaju cyberzagrożeń i rozumieją potrzebę zapewnienia cyberbezpieczeństwa, coraz częściej odmawiając płacenia gangom ransomware, a organy ścigania zwiększyły presję na infrastrukturę ransomware i mieszalniki kryptowalut. Łączna kwota zapłacona w 2024 r. wyniosła 813 mln dolarów.

Wzrost zagrożeń mobilnych

W pierwszym kwartale 2025 r. nastąpił gwałtowny wzrost zagrożeń mobilnych, a liczba chronionych użytkowników w kategoriach adware i spyware wzrosła o 25%. Adware, w szczególności odmiany takie jak HiddenAds i MobiDash, zdominowały krajobraz zagrożeń mobilnych, podczas gdy starsze rodziny, takie jak FakeAdBlockers, zniknęły z pola widzenia. Największe wzrosty odnotowano w Brazylii, Indiach, Argentynie i Meksyku, przy czym Meksyk odnotował 42-procentowy wzrost liczby chronionych użytkowników miesięcznie.

Mapa wskaźnika ryzyka spyware w pierwszym kwartale 2025 r.

Ewolucyjny charakter mobilnego adware i spyware sugeruje, że zagrożenia te będą nadal rosnąć w nadchodzących kwartałach, zwłaszcza że atakujący eksperymentują z nowymi metodami dostarczania i wykorzystują kampanie regionalne, aby zmaksymalizować swój wpływ.

Mapa wskaźnika ryzyka adware w pierwszym kwartale 2025 r.

Chociaż wzrost liczby złośliwego oprogramowania szpiegującego był bardziej umiarkowany (+6% chronionych użytkowników), pojawiły się niepokojące trendy związane z nowymi lub powracającymi odmianami, takimi jak SpySolr, Tambir i SpyLend, które atakują ofiary w Turcji i Indiach, stosując coraz bardziej agresywne taktyki kradzieży danych i szantażu. Hiszpania wyróżniła się 96-procentowym wzrostem ryzyka związanego ze złośliwym oprogramowaniem szpiegującym, a tuż za nią uplasowała się Turcja z wynikiem +84%.

Patrik Holop, badacz
Luis Corrons, ewangelista bezpieczeństwa
Ladislav Zezula, badacz złośliwego oprogramowania
Jakub Vávra, analityk ds. operacji związanych z zagrożeniami
Jan Rubín, badacz złośliwego oprogramowania
Alexej Savčin, kierownik ds. inżynierii analizy zagrożeń
Lukáš Zobal, kierownik ds. inżynierii badań

Najważniejsze wydarzenia: oszustwa, innowacje i nadużycie zaufania

Pierwszy kwartał 2025 r. pokazał, że cyberprzestępcy nie tylko udoskonalają swoje metody, ale całkowicie zmieniają zasady gry. W sekcji „Najważniejsze wydarzenia” opisujemy, w jaki sposób cyberprzestępcy wykorzystali przełomowe technologie, przejęli zaufane platformy i zastosowali wysoce spersonalizowane oszustwa, aby skuteczniej niż kiedykolwiek wcześniej złapać ofiary w pułapkę.

Wykorzystanie technologii deepfake przez CryptoCore w związku z inauguracją prezydenta Donalda Trumpa w 2025 r. pokazuje, jak ważne wydarzenia medialne mogą stać się potężnym narzędziem oszustw finansowych na skalę globalną.

Równolegle cyberprzestępcy wykorzystują legalne narzędzia do tworzenia stron internetowych, szybko wdrażając przekonujące strony phishingowe zaprojektowane tak, aby ominąć tradycyjne zabezpieczenia i nakłonić użytkowników do przekazania swoich najbardziej wrażliwych danych.

Zbadaliśmy również wyrafinowanie ataków typu „Scam-Yourself”, niepokojącego trendu, w którym ofiary są nakłaniane do dobrowolnego zainfekowania własnych urządzeń. Atakujący coraz częściej wykorzystują realistyczne postacie generowane przez sztuczną inteligencję, sprytnie przejęte platformy społecznościowe i zaawansowane techniki międzyplatformowe, aby uniknąć wykrycia i przekonać użytkowników do dobrowolnego obniżenia poziomu zabezpieczeń.

Wszystkie te historie składają się na jasny obraz zagrożeń wynikających z innowacji, oszustw i niepokojącego wykorzystywania zaufania.

Porwana inauguracja: jak CryptoCore wykorzystało deepfake’i do oszukania milionów

CryptoCore, wyrafinowana grupa cyberprzestępców wykorzystująca popularność kryptowalut, doprowadziła do perfekcji sztukę oszustwa. Łącząc technologię deepfake, przejęte konta YouTube i profesjonalnie zaprojektowane strony internetowe, przekształcają wydarzenia medialne w platformy startowe dla wyrafinowanych operacji oszustw wymierzonych w użytkowników kryptowalut. Ich podejście wykorzystuje zaufanie, manipuluje opinią publiczną i zamienia sfabrykowaną rzeczywistość w przekonującą pułapkę. Szczegółowo opisaliśmy ich metody w naszym artykule o CryptoCore.

W pierwszym kwartale 2025 r. CryptoCore znalazło idealną scenę. Gdy inauguracja prezydenta USA Donalda Trumpa w 2025 r. trafiła na pierwsze strony gazet na całym świecie, grupa rozpoczęła jedną ze swoich najbardziej agresywnych kampanii deepfake, wymierzoną w entuzjastów kryptowalut, którzy dali się wciągnąć w medialną gorączkę.

Nasze dane telemetryczne pokazują, że w tym okresie aktywność CryptoCore wzrosła ponad czterokrotnie w stosunku do typowego poziomu bazowego, co odzwierciedla skalę operacji.

Aktywność CryptoCore w okresie inauguracji Donalda Trumpa w 2025 r.

W czasie inauguracji CryptoCore znacznie zwiększyło swoją aktywność na YouTube, przejmując więcej kont i zmieniając ich nazwę, aby wyglądały jak oficjalne konta powiązane z Donaldem Trumpem. Technologia deepfake była podstawą operacji, umożliwiając tworzenie realistycznych, sfabrykowanych filmów, w których Donald Trump i Elon Musk promowali fałszywe wydarzenia z rozdawaniem nagród.

Narracja oszustwa była spójna: wykorzystanie zainteresowania mediów inauguracją do promowania programów inwestycyjnych związanych z kryptowalutami, obiecujących uczestnikom szansę podwojenia zysków. Filmy były starannie przygotowane, często wykorzystywały autentyczne materiały filmowe z manipulowaną synchronizacją ruchu warg i osadzonymi kodami QR, które przekierowywały widzów do zaawansowanych fałszywych stron internetowych. Strony te wyglądały bardzo profesjonalnie, zawierały elementy interaktywne oraz zdjęcia Trumpa i Muska, aby zwiększyć swoją wiarygodność.

Zrzut ekranu z oryginalnego materiału z transmisji na żywo wykorzystanego przez atakujących, zawierającego złośliwy kod QR

Oprócz wydarzenia inauguracyjnego, 18 stycznia 2025 r., tuż przed drugą inauguracją Donalda Trumpa, oficjalnie wprowadzono na rynek memową monetę $TRUMP. Moneta szybko zyskała uwagę opinii publicznej, napędzana przez media i zainteresowanie polityczne.

Wykorzystując okazję, CryptoCore stworzyło falę oszukańczych treści promocyjnych zawierających deepfake’i Trumpa i innych znanych osobistości. Oszustwo po raz kolejny obiecywało ekskluzywne korzyści i podwójny zysk, tym razem powiązane z inwestycjami w monetę $TRUMP.

Po inauguracji CryptoCore utrzymało stabilną tendencję do rozpowszechniania fałszywych filmów wykorzystujących podobieństwa innych osobistości związanych z kryptowalutami, takich jak Vitalik Buterin, Michael Saylor i Brad Garlinghouse. Te deepfake’i były rozpowszechniane na przejętych platformach, dzięki czemu zasięg oszustw znacznie wykroczył poza wydarzenia polityczne.

Działalność CryptoCore w pierwszym kwartale 2025 r. przyniosła szacunkowy zysk w wysokości 3,8 mln dolarów z 2200 transakcji, zgodnie z analizą portfeli kryptowalut zidentyfikowanych na fałszywych stronach internetowych. Ponieważ szacunki te obejmują wyłącznie śledzone portfele i widoczną aktywność, rzeczywisty zysk jest prawdopodobnie znacznie wyższy.

Najnowsze kampanie CryptoCore pokazują, jak szybko atakujący dostosowują się do sytuacji, łącząc technologię deepfake, przejęte zaufane platformy i wydarzenia medialne, aby zwabić niczego niepodejrzewające ofiary. Dzisiejsze oszustwa nie opierają się już na prymitywnych sztuczkach: wyglądają na dopracowane, profesjonalne i niebezpiecznie przekonujące. Aby uniknąć oszustwa, należy zachować czujność i weryfikować autentyczność wszelkich treści związanych z kryptowalutami, zwłaszcza tych powiązanych z głośnymi wydarzeniami lub osobistościami.

Ukryte zagrożenie atakami phishingowymi za pośrednictwem formularzy internetowych

Cyberprzestępcy zawsze poszukiwali prostych, skutecznych i niedrogich sposobów prowadzenia kampanii phishingowych. Niektórzy inwestują w rozbudowaną infrastrukturę, oferując realistyczne strony phishingowe w ramach płatnych zestawów „phishing-as-a-service”, inni wybierają tańsze i szybsze rozwiązanie: nadużywanie legalnych narzędzi do tworzenia stron internetowych. Te niewymagające dużego wysiłku alternatywy wykorzystują legalne narzędzia z interfejsami typu „przeciągnij i upuść”, umożliwiające każdemu stworzenie strony internetowej bez konieczności posiadania umiejętności kodowania. Takie podejście pozwala na szybkie, choć ograniczone, tworzenie stron phishingowych na legalnych domenach hostingowych. Strony takie mają większe szanse na ominięcie standardowych filtrów poczty elektronicznej, co stanowi poważne zagrożenie dla zwykłych użytkowników. Dlatego linki phishingowe są wysyłane głównie za pośrednictwem poczty elektronicznej. Główną taktyką jest wywołanie poczucia pilności w związku z zablokowanym kontem lub ograniczeniem usług wymagającym podjęcia natychmiastowych działań. Innym rodzajem wiadomości e-mail są wiadomości informacyjne, w których prosi się o zapoznanie się z dokumentem dostępnym online, ale dopiero po zalogowaniu się.

Mimo że wiele z tych stron internetowych można wykryć przy odrobinie uwagi, pozostają one stale obecne w sieci, a w niektórych regionach ich liczba stale rośnie. Najczęściej naśladują one ekrany logowania dużych firm świadczących usługi telekomunikacyjne, pocztę elektroniczną i streaming. Częstym celem ataków są również instytucje finansowe i formularze wymagające podania informacji dotyczących płatności, numerów ubezpieczenia społecznego i innych danych wrażliwych. Ponadto strony phishingowe pojawiają się w różnych językach na wszystkich kontynentach.

Atakujący często wykorzystują popularne narzędzia do tworzenia stron internetowych, np. Weebly lub Wix, hostowane na zaufanych domenach i infrastrukturze. Narzędzia te są często bezpłatne, co sprawia, że ich nadużywanie jest bardzo proste i anonimowe. Strony phishingowe zazwyczaj mają legalną domenę drugiego poziomu, która nie budzi podejrzeń filtrów antyspamowych ani oprogramowania antywirusowego. Ponadto atakujący mogą wybierać dowolne domeny trzeciego poziomu, często wykorzystując swoje nazwy, aby wywołać skojarzenia z marką, której dotyczy phishing. Popularną taktyką jest również typosquatting w nazwie subdomeny, np.

• updatefacebookmeta[.]weebly[.]com
• microsoftdocumentfile[.]weebly[.]com
• outlookauthenticationmicrosoft[.]weebly[.]com
• myfmsbank[.]weebly[.]com
• onlinedesk[.]wix.com

Oprócz kreatorów stron internetowych, atakujący coraz częściej wykorzystują usługi dynamicznego DNS (DDNS) i dostawców subdomen, takich jak DuckDNS, do hostowania stron phishingowych. Usługi te umożliwiają tworzenie niestandardowych subdomen, które naśladują znane marki, co dodatkowo zwiększa skuteczność oszustwa. Wykorzystując tak elastyczną infrastrukturę, atakujący mogą szybko skalować kampanie bez konieczności posiadania rozległej wiedzy technicznej, zwiększając ich zasięg i wpływ.

Niektóre strony logowania są zaawansowane i wymagają większej uwagi, aby je wykryć, zwłaszcza jeśli legalny formularz logowania jest łatwy do skopiowania. Z drugiej strony istnieje również wiele stron, które w oczywisty sposób są fałszywe, np. wprowadzone hasło nie jest maskowane, w stopce widnieje logo nadużywanej platformy lub nagłówek zawiera linki prowadzące do niepowiązanych stron. W każdym razie strona logowania znajdująca się w domenie kreatora stron internetowych jest sygnałem ostrzegawczym wskazującym, że coś jest nie tak.

Poniższy rysunek przedstawia przykład oczywistej strony phishingowej. Zwróć uwagę na podejrzane pozycje menu, w tym nieistotne opcje niezwiązane z celem strony. Układ strony jest również niespójny i nieprofesjonalny, z niedopasowanymi czcionkami i niezręcznym formatowaniem. Jednym z najbardziej oczywistych sygnałów ostrzegawczych jest jednak wyświetlanie haseł w postaci zwykłego tekstu, a nie zaszyfrowanego — co natychmiast wskazuje, że strona nie jest legalna.

Przykład oczywistej strony phishingowej, zawierającej typowe znaki ostrzegawcze

Ataki phishingowe tego typu stale rosną na całym świecie, z wyraźnymi wzrostami w określonych regionach.

Globalny wskaźnik ryzyka phishingu wykorzystującego internetowe narzędzia do tworzenia stron internetowych

W Stanach Zjednoczonych na początku 2025 r. przeprowadzono znaczącą kampanię wymierzoną w klientów AT&T i Xfinity. Natomiast w Australii od lutego obserwujemy stały wzrost liczby ataków, które nieustannie wymierzone są w użytkowników poczty elektronicznej Telstra.

Wskaźnik ryzyka phishingu wykorzystującego internetowe narzędzia do tworzenia stron internetowych w Australii

Te regionalne fale pokazują, jak łatwo atakujący mogą lokalizować swoje kampanie za pomocą publicznie dostępnych narzędzi, kierując je do konkretnych dostawców, języków i użytkowników przy minimalnym wysiłku i maksymalnym zasięgu.

Technika ta jest nadal szeroko stosowana nie bez powodu: jest szybka, tania i często skuteczna. Nawet jeśli strony phishingowe są źle wykonane, zaufane domeny hostingowe dają im przewagę, sprawiając, że trudniej je filtrować i łatwiej przeoczyć.

Warto zauważyć, że dane telemetryczne z pierwszego kwartału 2025 r. wskazują na wzrost liczby kampanii phishingowych hostowanych na usługach DDNS i dostawcach subdomen, co dodatkowo potęguje już powszechne nadużycia kreatorów stron internetowych. Chociaż ogólny obraz zagrożeń phishingowych pozostał w tym kwartale stosunkowo stabilny, zmiany w metodach hostingu wskazują na ewolucję strategii, która kładzie nacisk na szybkość, elastyczność i niskie koszty operacyjne.

Wykres przedstawiający dzienną liczbę ataków phishingowych hostowanych w usługach DDNS

Ewolucja ataków typu „oszukaj siebie”: inteligentniejsze, bardziej podstępne i wieloplatformowe

Najniebezpieczniejsze ataki to nie zawsze te, które wkradają się niezauważone — często są to te, które sprawiają, że sam otwierasz drzwi.

Ataki typu „oszukaj siebie” opierają się na dobrze opracowanych taktykach inżynierii społecznej, mających na celu nakłonienie użytkowników do zainfekowania własnych urządzeń. Złośliwe działania nie są ukryte w tle — są wyeksponowane przed użytkownikiem, zamaskowane jako pomocne instrukcje. To złośliwe oprogramowanie, które instalujesz sam, a atakujący coraz lepiej potrafią Cię do tego przekonać.

Mapa cieplna ilustrująca powszechne stosowanie ClickFix i FakeCaptcha

W samym pierwszym kwartale 2025 r. ochroniliśmy ponad 4 miliony osób przed atakami typu „Scam-Yourself”, takimi jak ClickFix i FakeCaptcha, które są jednymi z najbardziej rozpowszechnionych i uporczywych zagrożeń na całym świecie. Chociaż ogólna kategoria „Fałszywe”, która obejmuje ataki typu „Scam-Yourself”, odnotowała w tym kwartale niewielki spadek globalnego wskaźnika ryzyka o 8,96%, jej wpływ pozostaje ogromny, a na całym świecie obserwuje się utrzymującą się aktywność.

Globalny wskaźnik ryzyka dla kategorii „fałszywe” w pierwszym kwartale 2025 r.

Sztuczne osobowości, fałszywe narzędzia finansowe i pułapka YouTube

Jedną z najbardziej uderzających zmian, jakie zaobserwowaliśmy w tym kwartale, jest sposób, w jaki atakujący wykorzystują sztuczne osobowości generowane przez sztuczną inteligencję, influencerów wykorzystujących deepfake i wynajętych aktorów do prowadzenia kampanii typu „Scam-Yourself”, głównie za pośrednictwem przejętych kont YouTube.

Poznaj Thomasa Harrisa, znanego również jako Thomas Roberts lub Oscar Davies, a także pod innymi pseudonimami. Jest on bardzo aktywny na YouTube, gdzie udziela porad, jak łatwo zarobić pieniądze, korzystając z płatnych rozszerzeń do TradingView, takich jak ChatGPT AI Charts (niezależnie od tego, czy takie rozszerzenie faktycznie istnieje). Zazwyczaj pojawia się on w postaci niepublicznego filmu na przejętym koncie YouTube, gdzie „Thomas” słownie i wizualnie wyjaśnia, jak przeprowadzić instalację, skutecznie realizując atak typu „oszukaj siebie”. Najbardziej szokujące jest to, że Thomas nie jest prawdziwą osobą, ale wschodzącą gwiazdą influencera, który jest całkowicie sfałszowany.

Zrzut ekranu z filmem wygenerowanym przez sztuczną inteligencję, opublikowanym na YouTube, w którym słownie i wizualnie wyjaśniono kroki, które powinien podjąć użytkownik, w tym instrukcje zawarte w opisie filmu

Zazwyczaj film jest niepubliczny i nie jest widoczny na zhakowanym kanale YouTube, na którym został opublikowany, i nie można go wyszukać w serwisie YouTube. Aby użytkownik mógł dotrzeć do filmu, atakujący często wykorzystują system reklamowy YouTube, polecając oszukańcze filmy, gdy rozpoznają, że użytkownik jest zainteresowany powiązanym tematem.

Atakujący stosują również wiele sztuczek, aby przejęte konta wyglądały jak najbardziej przekonująco. Aby podszyć się pod oryginalnego sprzedawcę, atakujący wprowadzili kilka typowych zmian:

• Zmiana nazwy kanału (arbitralna, idealnie naśladująca oryginalny kanał)
• Zmiana nazwy @handle (musi być unikalna, zazwyczaj stosuje się typo-squatting)
• Usunięcie całej zawartości poprzedniego właściciela
• Wypełnienie kanału filmami prowadzącymi do oficjalnego kanału, pod który podszywają się atakujący

Ostatni krok wyjaśnimy bardziej szczegółowo na poniższym przykładzie.

Filmy z linkami to funkcja YouTube, która pozwala użytkownikom umieszczać linki do filmów z różnych kanałów i prezentować je na swoim własnym kanale. Na poniższym zrzucie ekranu widzimy przejęty kanał YouTube. Ponieważ filmy w tym przypadku odsyłają do oficjalnego kanału TradingView, wyglądają bardzo przekonująco i autentycznie – ponieważ są autentyczne – mimo że w ogóle nie należą do tego kanału. Użytkownik musiałby kliknąć poszczególne filmy i zauważyć, że są one w rzeczywistości hostowane na innym kanale, aby zorientować się, że nie znajduje się na stronie firmy, konta lub dostawcy, na której jego zdaniem się znajduje.

Oszustwo związane z botami handlowymi to kolejny rodzaj kampanii wykorzystującej sztuczną inteligencję do podszywania się pod inne osoby, który zaobserwowaliśmy w pierwszym kwartale 2025 r. (i później). W ponad 500 filmach zaobserwowaliśmy ponad 15 różnych postaci i wciąż liczymy kolejne. Wszystkie te postacie, całkowicie wygenerowane przez sztuczną inteligencję, sfałszowane za pomocą technologii deepfake lub grane przez wynajętych aktorów, przeprowadzają oszustwo związane z botami handlowymi.

Wszystkie te postacie, całkowicie wygenerowane przez sztuczną inteligencję, deepfake’owane lub grane przez wynajętych aktorów, przeprowadzają oszustwo Trading Bot Scam.

Wszystkie powyższe postacie doradzają użytkownikom, jak szybko i łatwo wzbogacić się, wykorzystując różnice cen kryptowalut w łańcuchach bloków. W tym celu użytkownicy są instruowani, aby skopiować i wkleić kod inteligentnego kontraktu do internetowego zintegrowanego środowiska programistycznego (platformy IDE) dla kontraktu kryptowalutowego. Kiedy użytkownik dodaje pieniądze do kontraktu, są one wysyłane do portfela atakującego. Ta metoda przenosi ataki typu „oszukaj siebie” na wyższy poziom. Zamiast po prostu nakłaniać użytkowników do wklejenia złośliwych poleceń do swoich komputerów, wykorzystuje ona legalne strony internetowe lub narzędzia, aby nakłonić ich do skonfigurowania złośliwego inteligentnego kontraktu w łańcuchu bloków.

Atakujący zazwyczaj hostuje własną fałszywą platformę kodowania na stronie internetowej o nieco błędnie napisanej nazwie. W ten sposób omijają ostrzeżenia i wyskakujące komunikaty, które prawdziwe platformy wyświetlają, aby chronić użytkowników przed kopiowaniem niebezpiecznego kodu.

Ostrzeżenie wyświetlane zazwyczaj na internetowych platformach IDE dla inteligentnych kontraktów, gdy użytkownik kopiuje i wkleja kod

Dzięki samodzielnemu hostowaniu IDE atakujący zmieniają jego implementację w taki sposób, aby ostrzeżenia te były tłumione, co stanowi kompromis między zauważeniem przez użytkownika domeny z błędem ortograficznym a wyświetleniem okna dialogowego z ostrzeżeniem.

FakeCaptcha staje się bardziej inteligentna (i bardziej wieloplatformowa)

ClickFix i FakeCaptcha nadal ewoluują. Jedna z nowych taktyk polega na wykorzystaniu interaktywnych obrazkowych CAPTCHA naśladujących klasyczną zagadkę „wybierz wszystkie sygnalizatory świetlne”. Jednak po wybraniu obrazu (szczerze mówiąc, dowolnego obrazu) użytkownik jest ponownie przekierowywany do typowego zestawu złośliwych kroków, które powodują zainfekowanie urządzenia użytkownika.

Inna kampania FakeCaptcha skupiona na krajach azjatyckich wykorzystuje adresy URL z błędami ortograficznymi, próbując podszyć się pod znane marki, takie jak Pepsi, McDonald’s i Coca-Cola. W kampaniach tego typu można zaobserwować wykorzystanie różnych programów ładujących — programów zaprojektowanych do potajemnej instalacji złośliwego oprogramowania na urządzeniu ofiary, w tym dobrze znanego programu ładującego Emmenhtal. W niektórych przypadkach program ładujący jest sprytnie ukryty w wielojęzycznym pliku MP3, który można odtworzyć jako normalny plik audio, ale zawiera on również złośliwy kod JavaScript. Ten ukryty kod jest następnie uruchamiany przez narzędzie o nazwie mshta.exe w celu zainstalowania złośliwego oprogramowania Lumma Stealer.

Łańcuch wykonania ilustrujący przepływ od zainfekowanej witryny FakeCaptcha do wykonania programu Lumma Stealer

W atakach FakeCaptcha osoby atakujące ukrywają złośliwy kod, dodając komentarze, które sprawiają, że polecenie wygląda na nieszkodliwe. W ten sposób użytkownik widzi tylko rzekomy komunikat weryfikacyjny, a złośliwe polecenie jest ukryte tuż przed komentarzem, jak widać poniżej:

Niewinny komentarz dodatkowo wprowadza użytkowników w błąd, sugerując, że nie ma nic złego w wykonywanych przez nich czynnościach

W pierwszym kwartale 2025 r. zaobserwowaliśmy ulepszenie tej techniki. Atakujący zaczęli używać znaków Unicode w tych komentarzach, aby uniknąć wykrycia. Dla użytkownika nic się nie zmieniło, ale w tle reprezentacja bajtów znacznie się różni.

FakeCaptcha wykorzystuje również część adresu URL zawierającą informacje o użytkowniku (dane uwierzytelniające przed symbolem „@”) w żądaniach mshta.exe. Ma to na celu ukrycie adresu URL, tak aby wyglądał on jak zwykła domena google.com (patrz poniżej), ale w rzeczywistości żądanie jest kierowane do witryny internetowej atakującego.

Ponadto FakeCaptcha nie jest już tylko problemem systemu Windows. Na początku pierwszego kwartału 2025 r. atak ten został zaobserwowany w systemie macOS. Obiecując ochronę przed atakami phishingowymi, kampania ta, po wykonaniu określonych kroków, rozpowszechniała AMOS, narzędzie do kradzieży informacji znane również jako Atomic Stealer.

FakeCaptcha na macOS rozprzestrzeniająca AMOS
(źródło: https://x.com/g0njxa/status/1884166667498054004)

Równolegle zaobserwowaliśmy również znaczny wzrost liczby kampanii fałszywych aktualizacji, w których atakujący nakłaniają ofiary do zainstalowania rzekomych aktualizacji przeglądarki (np. Chrome lub Opera), które w rzeczywistości dostarczają złośliwe oprogramowanie. Te fałszywe aktualizacje, zaprojektowane tak, aby ściśle naśladować legalne monity, spowodowały ogromny wzrost wskaźników ryzyka o +1711% w pierwszym kwartale. Chociaż kampanie tego typu mają charakter sytuacyjny, mogą gwałtownie nasilać się w krótkich seriach, po czym ustępować i powracać w spokojniejszych okresach. Ta konkretna fala szczególnie dotknęła takie kraje, jak Belgia, Polska, Włochy, Nowa Zelandia, Szwajcaria, Hiszpania, Holandia, Niemcy i Wielka Brytania.

Ataki typu „Scam-Yourself” pozwalają również na ponowne pojawienie się wcześniej nieaktywnych odmian złośliwego oprogramowania. W pierwszym kwartale 2025 r. zaobserwowaliśmy powrót Wincir RAT/dropper, znanego również jako Legion Loader, który zyskał popularność w 2022 r., a następnie szybko zaczął tracić na znaczeniu.

Atak rozpoczyna się od nieoficjalnej strony internetowej osoby trzeciej, z której można pobrać oprogramowanie. Strona ta jest jednak hostowana przez atakującego i zamiast bezpośredniego pobrania, użytkownikowi wyświetlane są instrukcje postępowania.

Należy pamiętać, że instrukcje nie infekują bezpośrednio urządzeń ofiar. Zamiast tego instalator jest po prostu pobierany i wygodnie wyświetlany użytkownikowi w tradycyjnym oknie Eksploratora. Po dwukrotnym kliknięciu lub naciśnięciu klawisza Enter użytkownik ręcznie uruchamia Wincir.

Przewidujemy, że ataki typu „oszukaj siebie” będą nadal ewoluować pod względem zaawansowania i zakresu. Połączenie postaci generowanych przez sztuczną inteligencję, dostarczania złośliwego oprogramowania na różne platformy (w tym macOS) oraz zaawansowanych technik inżynierii społecznej sugeruje, że ataki te pozostaną jedną z najbardziej elastycznych i trudnych kategorii zagrożeń w nadchodzących kwartałach. Regionalne wzrosty, takie jak te obserwowane w kampaniach fałszywych aktualizacji, prawdopodobnie pojawią się ponownie, ponieważ atakujący będą testować nowe metody i wykorzystywać lokalne możliwości.

Martin Chlumecký, badacz złośliwego oprogramowania
Jan Rubín, badacz złośliwego oprogramowania
Luis Corrons, ewangelista bezpieczeństwa

Podsumowanie

Raport Gen Q1/2025 dotyczący zagrożeń ujawnił ewoluujący krajobraz zagrożeń, w którym cyberprzestępcy stają się coraz bardziej wyrafinowani, wykorzystując zaawansowane technologie, takie jak sztuczna inteligencja, deepfake’i i oszustwa międzyplatformowe, aby wykorzystać zaufanie i atakować swoje ofiary. Problemy te nie są tylko technologiczne — mają głęboko osobisty charakter i wpływają na prawdziwych ludzi i ich życie.

Najważniejsze wnioski obejmowały 186-procentowy wzrost liczby naruszeń bezpieczeństwa danych, 17-krotny wzrost liczby oszustw związanych z fałszywymi aktualizacjami w porównaniu z poprzednim kwartałem oraz wzrost liczby ataków typu „oszukaj siebie”, które skłoniły miliony użytkowników do narusz Na scenie ransomware pojawili się nowi gracze, opracowujący ataki tworzone przez sztuczną inteligencję, które mają na celu zyski przedsiębiorstw. Zagrożenia finansowe, takie jak oszustwa kryptowalutowe oparte na deepfake’ach CryptoCore, przyniosły miliony zysków, podczas gdy zagrożenia mobilne przybrały głęboko osobisty charakter, atakując wrażliwe dane użytkowników za pomocą oprogramowania szpiegującego i trojanów bankowych.

Chociaż ogólna liczba cyberataków nie wzrosła znacząco, sygnalizuje to przejście od szeroko zakrojonych, masowych strategii do bardziej ukierunkowanych, innowacyjnych i uporczywych taktyk.

Pomimo tych wyzwań istnieje nadzieja. Świadomość, proaktywne działania i solidne praktyki w zakresie cyberbezpieczeństwa mają kluczowe znaczenie w przeciwdziałaniu tym zagrożeniom. Razem możemy zbudować cyfrową przyszłość, która będzie inteligentniejsza, bezpieczniejsza i bardziej odporna.