Společnost HP zveřejnila novou zprávu Threat Insights Report, ve které ukazuje, jak útočníci zdokonalují kampaně pomocí profesionálně vypadajících animací a komerčních malwarových služeb. Výzkumníci HP upozorňují na to, že tyto útoky kombinují atraktivní vizuální prvky, známé z hostingové platformy, např. Discord, a pravidelně aktualizované malware kity, což jim pomáhá uniknout pozornosti uživatelů i bezpečnostních nástrojů.
Zpráva analyzuje reálné kybernetické útoky a pomáhá organizacím udržet krok s nejnovějšími technikami, které kyberzločinci využívají k obcházení detekce a průnikům do počítačů. Na základě dat z milionů koncových zařízení s HP Wolf Security mezi klíčové poznatky patří:
• Falešná aktualizace Adobe: Falešný PDF soubor s logem Adobe přesměroval uživatele na podvodnou stránku, která napodobovala aktualizaci jejich PDF čtečky. Animovaný průběh instalace napodoboval oficiální aktualizaci a přiměl uživatele ke stažení modifikované verze nástroje ScreenConnect. Tento legitimní nástroj pro vzdálený přístup pak navázal spojení se serverem útočníků a umožnil převzetí zařízení.
• Malware na Discordu obchází obranu Windows 11: Útočníci hostovali škodlivý kód přímo na platformě Discord, aby nemuseli budovat vlastní infrastrukturu a zároveň těžili z důvěryhodné reputace domény. Ještě před nasazením malware upravuje funkci Memory Integrity ve Windows 11, aby obešel tuto vrstvu zabezpečení. Následně infekční řetězec doručí Phantom Stealer – infostealer nabízený na underground fórech formou předplatného modelu, s pravidelnými aktualizacemi a funkcemi pro krádež přístupových údajů a finančních informací.
• DLL sideloading obchází skenery zabezpečení koncových bodů: Útočníci se vydávali za kolumbijský úřad prokuratury a šířili podvržené právní výzvy prostřednictvím e-mailu. Odkaz vedl na podvodný web napodobující vládní stránky, kde se automaticky spustila animace směřující uživatele k zadání „jednorázového hesla“. To je přimělo ke stažení a otevření zaheslovaného archivu, který obsahoval skrytý škodlivý DLL soubor. Ten instaloval malware PureRAT, který útočníkům poskytl plný vzdálený přístup k zařízení oběti. Detekovatelnost těchto vzorků byla extrémně nízká – antivirové nástroje identifikovaly v průměru jen 4 % z nich.
Patrick Schläpfer, hlavní výzkumník v oblasti hrozeb v HP Security Lab, říká: „Útočníci využívají propracované vizuální prvky, jako jsou falešné ukazatele načítání nebo přihlašovací výzvy, aby škodlivé stránky působily důvěryhodně a naléhavě. Současně spoléhají na hotové balíčky malwaru, které se aktualizují stejně rychle jako běžný software. Díky tomu dokážou snadněji obejít bezpečnostní opatření a vynaložit méně úsilí na přípravu útoků.“
Součástí zveřejněné zprávy je i blogový příspěvek analyzující šíření malwaru zaměřeného na krádež přihlašovacích cookies (tedy dat, která udržují aktivní přihlášení), zneužití přístupových údajů a rostoucí výskyt infostealerů. Místo krádeže hesel či obcházení dvoufaktorového ověření (MFA) útočníci často zneužívají cookies, které potvrzují přihlášení uživatele, a získají tak okamžitý přístup k citlivým systémům. Podle analýzy útoků zveřejněných ve 3. čtvrtletí 2025 tvořily infostealery 57 % nejrozšířenějších malwarových rodin.
HP Wolf Security dokáže izolovat hrozby, které uniknou detekci na PC, ale přitom umožňuje jejich bezpečné spuštění v chráněných kontejnerech. Uživatelé HP Wolf Security klikli doposud na více než 55 miliard e-mailových příloh, webových stránek a stažených souborů bez jediného hlášeného průniku.
Zpráva, která zkoumala data z období červenec až září 2025, ukazuje, jak kyberzločinci nadále diverzifikují metody, jak obejít detekční nástroje, například:
• Alespoň 11 % e-mailových hrozeb identifikovaných pomocí HP Sure Click obešlo jeden nebo více skenerů e-mailových bran
• Archivní soubory byly nejčastějším nosičem malwaru (45 %), což je nárůst o 5 procentních bodů oproti 2. čtvrtletí. Útoky často zneužívají formáty .tar a .z
• Ve 3. čtvrtletí tvořily PDF soubory 11 % zablokovaných hrozeb, což je nárůst o 3 procentní body oproti předchozímu období.
