Zpět na domů

Škodlivá reklama IT utilit: útok SmokedHam a Qilin

Na začátku roku 2026 jsou evropské společnosti napadány prostřednictvím škodlivé reklamy IT utilit. Útočníci šíří backdoor SmokedHam a ransomware Qilin. Analytici spojují kampaň se skupinou UNC2465.

Jak falešné instalátory IT nástrojů otevírají hackerům přístup k vaší síti
Advertisement 728x90

Škodlivá reklama IT nástrojů: jak hackeři pronikají do evropských společností prostřednictvím falešných instalátorů

Na začátku roku 2026 čelily evropské organizace nové vlně kybernetických útoků, při nichž útočníci využívají škodlivou reklamu ve vyhledávačích k šíření backdooru SmokedHam pod maskou legitimních IT nástrojů. V některých případech útok končí nasazením ransomware Qilin. Specialisté Orange Cyberdefense spojují kampaň se skupinou UNC2465, dříve známou útoky s využitím DarkSide, LockBit a Hunters International.

Mechanismus útoku: od reklamy po úplnou kontrolu

Útok začíná nákupem reklamních inzerátů ve vyhledávačích, které propagují falešné stránky ke stažení oblíbených nástrojů pro systémové administrátory. Uživatel hledající například RVTools nebo Remote Desktop Manager může kliknout na reklamní odkaz a stáhnout škodlivý instalátor. Po spuštění se do zařízení nahraje backdoor SmokedHam, který útočníkům poskytne vzdálený přístup.

V jednom z incidentů vyšetřovaných Orange Cyberdefense vedla infekce k nasazení ransomware Qilin. Operátoři používali sofistikované metody skrývání: využívali dvě různá řešení pro monitorování zaměstnanců, mísili škodlivé aktivity s prací legitimních administrativních nástrojů (PuTTY, Kitty, Zoho Assist, Total Commander) a také používali Cloudflare Workers a standardní koncové body AWS k maskování provozu.

Google AdInline article slot

SmokedHam: evoluce backdooru

Analytici Orange Cyberdefense prozkoumali více než 30 vzorků SmokedHam shromážděných v letech 2025–2026. Zjistili, že operátoři nástroj neustále modifikují: mění se způsoby doručení, metody ukotvení v systému a používané zranitelnosti. To svědčí o vysoké aktivitě skupiny a nepřetržitém vylepšování arzenálu. Backdoor může nahrávat další moduly, což zajišťuje flexibilitu při provádění útoků.

Kdo stojí za útoky: skupina UNC2465

S mírnou jistotou Orange Cyberdefense spojuje kampaň s UNC2465. Tato skupina nebo s ní spojený partner se dříve objevili v útocích s využitím známých ransomware, jako jsou DarkSide, LockBit a Hunters International. Závěr je založen na průniku taktik, technik a používané infrastruktury. Útočníci jsou aktivně zaměřeni na evropské organizace, což potvrzuje geografie incidentů od února do dubna 2026.

Co je důležité

  • Škodlivá reklama ve vyhledávačích je účinný vektor počátečního pronikání do evropských společností.
  • Pod maskou legitimních IT nástrojů (RVTools, Remote Desktop Manager, PuTTY) se šíří backdoor SmokedHam.
  • V některých útocích po SmokedHam následuje nasazení ransomware Qilin.
  • Operátoři používají několik úrovní skrývání: legitimní administrativní nástroje, Cloudflare Workers, AWS.
  • Skupina UNC2465, spojená s předchozími útoky ransomware, pravděpodobně stojí za kampaní.

Kontext a důsledky

Použití malvertisingu k šíření škodlivého softwaru není nová taktika, ale její účinnost roste díky možnosti cílení na konkrétní profesní skupiny. Systémoví administrátoři a IT specialisté hledající nástroje pro práci se stávají prioritním cílem. Vzhledem k tomu, že útoky jsou zaměřeny na evropské organizace, musí společnosti posílit kontrolu stahování a zavést vícefaktorovou autentizaci, stejně jako školení zaměstnanců k rozpoznávání podezřelých reklam.

Google AdInline article slot

Pro ochranu se doporučuje používat oficiální zdroje stahování, kontrolovat digitální podpisy instalátorů a omezit používání administrátorských oprávnění. Důležité je také monitorovat síťový provoz na podezřelá spojení přes Cloudflare Workers nebo AWS.

— Editorial Team

Advertisement 728x90

Číst dál