Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CERT Polska wydał pilny komunikat: między 9 a 10 kwietnia strona cpuid.com — twórcy popularnych narzędzi diagnostycznych CPU-Z i HW-Monitor — przekierowywała pobierania do serwera atakujących, który serwował zmodyfikowane wersje oprogramowania zawierające złośliwy plik CRYPTBASE.dll. Każda osoba, która w ciągu ostatnich 24 godzin instalowała lub aktualizowała CPU-Z lub HW-Monitor, powinna natychmiast sprawdzić system pod kątem wskaźników IoC opublikowanych przez CERT. Malware komunikuje się z serwerem C2 pod adresem welcome.supp0v3.com. Telepolis i The Register potwierdzają incydent. To klasyczny atak supply chain — użytkownik robi „właściwą" rzecz (aktualizuje narzędzie z oficjalnej strony) i mimo to zostaje zainfekowany.
Źródło: CERT Polska (moje.cert.pl) [PL] | BleepingComputer [EN] | Telepolis [PL] | The Register [EN]
BleepingComputer i HelpNetSecurity informują, że Google wreszcie wdraża szyfrowanie E2E (end-to-end) w Gmailu na iOS i Androidzie — funkcja, na którą czekano od momentu uruchomienia Gmaila ponad 20 lat temu. Szyfrowanie jest dostępne dla użytkowników Google Workspace (firmowych) i opiera się na kluczach zarządzanych przez samą organizację, a nie przez Google. Wiadomości szyfrowane E2E są nieczytelne nawet dla samego Google, nawet w przypadku wyroku sądowego. Na razie funkcja dostępna jest w fazie beta dla wybranych klientów Enterprise. To ważny krok, ale warto pamiętać, że szyfrowanie działa tylko między użytkownikami korzystającymi z tej samej funkcji — e-maile do zwykłych odbiorców nadal nie będą szyfrowane.
Źródło: BleepingComputer [EN] | HelpNetSecurity [EN]
Google Security Blog, The Hacker News i HelpNetSecurity opisują wdrożenie w Chrome 146 mechanizmu DBSC (Device Bound Session Credentials) — nowej technologii, która kryptograficznie wiąże ciasteczka sesji z konkretnym urządzeniem. Dotychczas atakujący mogący wykraść plik z ciasteczkami przeglądarki mogli przejąć zalogowane sesje bez znajomości hasła i bez konieczności przechodzenia przez MFA — technika stosowana przez infostealery na masową skalę. DBSC sprawia, że skradzione ciasteczko sesji jest bezużyteczne na innym urządzeniu — token jest podpisany kluczem kryptograficznym przechowywanym w TPM lub Secure Enclave, którego nie można wyeksportować. To jeden z najbardziej znaczących kroków w kierunku eliminacji całej klasy ataków na przeglądarki.
Źródło: Google Security Blog [EN] | The Hacker News [EN] | HelpNetSecurity [EN]
Dobreprogramy i Infosecurity24 opisują oficjalne zapowiedzi komunikatora mSzyfr — polskiego szyfrowanego komunikatora dla administracji rządowej i samorządowej, nad którym pracują wspólnie Ministerstwo Cyfryzacji, NASK i ABW. Wiceminister Paweł Olszewski zapowiada, że aplikacja ma zapewnić bezpieczną, suwerenną komunikację instytucjom publicznym i podmiotom infrastruktury krytycznej, z możliwością późniejszego udostępnienia obywatelom. Aplikacja jest w fazie testów na zamkniętej grupie i zostanie ogłoszona szerzej po dopracowaniu wszystkich funkcjonalności. To kolejny sygnał, że Polska poważnie traktuje cyfrową suwerenność — wiele krajów UE szuka alternatywy dla komercyjnych platform komunikacyjnych z USA.
Źródło: Dobreprogramy [PL] | Infosecurity24 [PL]
Sekurak opisuje pojawienie się na portalu monitorującym grupy ransomware informacji o rzekomym ataku grupy ALP-001 na Polsat — jedną z największych polskich stacji telewizyjnych. Cyberprzestępcy twierdzili, że wykradli ponad 75 GB danych, uruchomili odliczanie i żądali okup. Zastanawiające jest jednak, że nie opublikowali żadnej próbki danych (standardowy dowód autentyczności ataku), a następnie wpis zniknął z portalu — co może sugerować trwające negocjacje lub blef. ALP-001 działa w modelu RaaS i stosuje double extortion. Polsat nie skomentował doniesień. Sekurak zaleca ostrożność i podchodzenie do informacji z dużą rezerwą do czasu pojawienia się oficjalnego stanowiska.
Źródło: Sekurak [PL]
BleepingComputer i Microsoft Security Blog opisują kampanię grupy Storm-2755, nazwanej przez Microsoft „Payroll Pirates". Atakujący zatruwa wyniki wyszukiwania w Office 365 — gdy pracownik działu HR lub płac szuka w wewnętrznym portalu firmowym formularza dotyczącego wypłat, zamiast właściwego dokumentu trafia na spreparowaną stronę phishingową zbierającą poświadczenia korporacyjne. Po przejęciu konta przestępcy zmieniają dane bankowe pracowników, przekierowując wypłaty na własne konta. Kampania celuje przede wszystkim w firmy kanadyjskie. To niepokojący przykład nadużycia zaufanej infrastruktury firmowej — pracownik w niczym nie podejrzewa, że coś jest nie tak.
Źródło: BleepingComputer [EN] | Microsoft Security Blog [EN] | HelpNetSecurity [EN]
Instalki.pl opisują aktywną kampanię phishingową, w której cyberprzestępcy rozsyłają e-maile z załącznikiem podszywającym się pod fakturę Orange. Plik jest w rzeczywistości dropperem infostealera FormBook — malware wykradającego dane z formularzy przeglądarek, hasła, zawartość schowka i robienie zrzutów ekranu. FormBook jest jednym z najstarszych i najszerzej rozprowadzanych infostelaerów na rynku MaaS (Malware-as-a-Service) — jest aktywny od 2016 roku i wciąż skuteczny, bo regularnie aktualizowany przez twórców. Nigdy nie otwieraj załączników faktur z e-maila bez weryfikacji — prawdziwy rachunek Orange jest dostępny w panelu klienta na stronie www.
Źródło: Instalki.pl [PL]
The Hacker News opisuje raport wskazujący, że rozszerzenia przeglądarki przeżywają renesans jako wektor ataku w erze AI. Nowość polega na tym, że złośliwe rozszerzenia coraz częściej udają narzędzia AI (asystenty, tłumacze, narzędzia do pisania) — a użytkownicy chętnie przyznają im szeroki dostęp do treści wszystkich odwiedzanych stron. W praktyce takie rozszerzenie widzi każdą stronę bankową, każdą rozmowę w Gmailu i każdy formularz wypełniany przez użytkownika. Infosecurity Magazine potwierdza 76-procentowy wzrost incydentów związanych z rozszerzeniami przeglądarki w 2025 roku. Zasada: instaluj wyłącznie rozszerzenia od zweryfikowanych wydawców z historią i recenzjami — koniecznie sprawdzaj zakres żądanych uprawnień.
Źródło: The Hacker News [EN] | Infosecurity Magazine [EN]
BleepingComputer opisuje raport analizujący miliard rekordów z katalogu CISA Known Exploited Vulnerabilities pod kątem czasu reakcji organizacji. Wyniki są alarmujące: nawet najwyżej priorytetyzowane podatności KEV są łatane przez przeciętną organizację z opóźnieniem 30–90 dni od publikacji. Kluczowy wniosek: „ludzka skala" bezpieczeństwa osiągnęła swoje granice — liczba podatności rośnie szybciej niż możliwości manualnego zarządzania nimi. Raport zaleca priorytetyzację przez automatyczne narzędzia i skupienie zasobów ludzkich wyłącznie na najkrytyczniejszych przypadkach. To mocna argumentacja za automatyzacją remediation w całym ekosystemie cyberbezpieczeństwa.
Źródło: BleepingComputer [EN]
CRN.pl i Techno-Senior alarmują o aktywnej kampanii wymierzonej w klientów Polskiej Grupy Energetycznej (PGE). Analitycy ESET opisują wyrafinowane e-maile informujące o „nadpłacie za energię elektryczną" z prośbą o wypełnienie formularza w celu odzyskania środków. Cała wizualna szata wiadomości i strony docelowej jest dopracowana i wiarygodna — krok po kroku prowadzi ofiarę przez formularz zbierający dane karty płatniczej. Ekspert ESET Kamil Sadkowski podkreśla, że to nie przypadkowa, masowa kampania niskiej jakości, lecz przemyślana operacja. PGE nigdy nie prosi o dane karty płatniczej w celu zwrotu nadpłaty — ewentualny zwrot trafia automatycznie na konto powiązane z umową.
Źródło: CRN.pl [PL] | Techno-Senior [PL] | LegalnieWSieci.pl [PL]
Sekurak opisuje przypadek Bogdana Chadkina, który zebrał szczegółową dokumentację ataku rekrutacyjnego: fałszywy CTO europejskiego startupu fintech nawiązał kontakt na LinkedIn i przez kilka sesji „umów na rozmowę" przez Zoom budował pozory normalnego procesu rekrutacyjnego. Gdy wreszcie padła prośba o „naprawienie błędu SDK" przez wklejenie komend curl | zsh w terminalu, okazało się, że komendy pobierają malware z fałszywej domeny imitującej Zoom. Kluczowe sygnały ostrzegawcze: przeniesienie rozmowy na Telegram, naleganie na konkretne narzędzia wideo, prośba o wklejenie poleceń w terminalu. Żaden legalny rekruter nigdy nie prosi o uruchamianie poleceń w terminalu podczas rozmowy kwalifikacyjnej.
Źródło: Sekurak [PL]
Malwarebytes opisuje kampanię, w której atakujący stworzyli fałszywą stronę podszywającą się pod Claude (narzędzie AI Anthropic) i promowaną przez reklamy w wyszukiwarce. Ofiara pobiera i instaluje „aplikację Claude", która w rzeczywistości jest trojanem zdalnego dostępu (RAT) — atakujący uzyskują pełną kontrolę nad komputerem: dostęp do plików, kamery, mikrofonu i haseł. Kampania jest szczególnie skuteczna, bo Claude jest coraz bardziej rozpoznawalny — a użytkownicy nie zawsze wiedzą, że Claude jest dostępny wyłącznie przez stronę claude.ai i przez API (nie ma osobnej aplikacji desktopowej do pobrania). Każda "oficjalna aplikacja Claude" do zainstalowania pochodzi od oszustów.
Źródło: Malwarebytes [EN]
BleepingComputer i CyberScoop opisują szczegółowy raport firmy Censys, która zidentyfikowała prawie 4000 wyeksponowanych publicznie urządzeń OT (Operational Technology) w USA należących do sektorów energetyki i infrastruktury wodnej — bezpośrednio narażonych na kampanie irańskie opisywane przez CISA w poprzednich ostrzeżeniach. Urządzenia te mają publicznie dostępne panele administracyjne z domyślnymi lub słabymi hasłami. Irani hakerzy (powiązani z IRGC) aktywnie exploatują takie targety od 2023 roku, demonstracyjnie zmieniając interfejsy sterowników przemysłowych. SecurityWeek zebrał komentarze ekspertów branżowych, którzy wskazują na chroniczne zaniedbanie cyberhigieny w sektorze infrastruktury krytycznej.
Źródło: BleepingComputer [EN] | CyberScoop [EN] | SecurityWeek [EN]
Dark Reading opisuje nowy raport podsumowujący globalną aktywność grupy APT28 po ujawnieniu operacji Masquerade. Pomimo publicznego demaskowania i działań organów ścigania, Fancy Bear nie zwolnił tempa: badacze obserwują ciągłe próby sondowania sieci dyplomatycznych i wojskowych w Europie, a infrastruktura grupy była przebudowywana w ciągu godzin od publikacji raportów. To potwierdzenie obserwacji Krebs on Security z poprzedniego tygodnia: APT28 natychmiast adaptuje się do ujawnień, przełączając się na nowe metody i domeny C2. Grup hakerska wspierana przez państwo z nieograniczonymi zasobami jest w stanie absorbować nawet poważne zakłócenia i kontynuować działalność.
Źródło: Dark Reading [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 10 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.