Złośliwe reklamy narzędzi IT: jak hakerzy przenikają do europejskich firm przez fałszywe instalatory
Na początku 2026 roku europejskie organizacje stanęły w obliczu nowej fali cyberataków, w których przestępcy wykorzystują złośliwe reklamy w wyszukiwarkach do rozpowszechniania backdoora SmokedHam pod pozorem legalnych narzędzi IT. W niektórych przypadkach atak kończy się wdrożeniem oprogramowania ransomware Qilin. Specjaliści Orange Cyberdefense łączą kampanię z grupą UNC2465, znaną wcześniej z ataków z użyciem DarkSide, LockBit i Hunters International.
Mechanizm ataku: od reklamy do pełnej kontroli
Atak rozpoczyna się od wykupienia reklam w wyszukiwarkach, które promują fałszywe strony pobierania popularnych narzędzi dla administratorów systemów. Użytkownik szukający np. RVTools lub Remote Desktop Manager może kliknąć w reklamę i pobrać złośliwy instalator. Po uruchomieniu na urządzenie trafia backdoor SmokedHam, zapewniający atakującym zdalny dostęp.
W jednym z incydentów badanych przez Orange Cyberdefense infekcja doprowadziła do wdrożenia ransomware Qilin. Operatorzy stosowali zaawansowane metody ukrywania: używali dwóch różnych rozwiązań do monitorowania pracowników, mieszali złośliwe działania z pracą legalnych narzędzi administracyjnych (PuTTY, Kitty, Zoho Assist, Total Commander), a także wykorzystywali Cloudflare Workers i standardowe punkty końcowe AWS do maskowania ruchu.
SmokedHam: ewolucja backdoora
Analitycy Orange Cyberdefense przeanalizowali ponad 30 próbek SmokedHam zebranych w latach 2025-2026. Okazało się, że operatorzy stale modyfikują narzędzie: zmieniają się sposoby dostarczania, metody utrwalania w systemie i wykorzystywane podatności. Świadczy to o wysokiej aktywności grupy i ciągłym ulepszaniu arsenału. Backdoor może pobierać dodatkowe moduły, zapewniając elastyczność w przeprowadzaniu ataków.
Kto stoi za atakami: grupa UNC2465
Z umiarkowaną pewnością Orange Cyberdefense łączy kampanię z UNC2465. Grupa ta lub związany z nią partner pojawiali się wcześniej w atakach z użyciem znanych ransomware, takich jak DarkSide, LockBit i Hunters International. Wniosek opiera się na nakładaniu się taktyk, technik i wykorzystywanej infrastruktury. Atakujący aktywnie celują w europejskie organizacje, co potwierdza geografia incydentów od lutego do kwietnia 2026 roku.
Co jest ważne
- Złośliwe reklamy w wyszukiwarkach to skuteczny wektor początkowego wnikania do europejskich firm.
- Pod pozorem legalnych narzędzi IT (RVTools, Remote Desktop Manager, PuTTY) rozpowszechniany jest backdoor SmokedHam.
- W niektórych atakach po SmokedHam następuje wdrożenie ransomware Qilin.
- Operatorzy stosują kilka poziomów ukrywania: legalne narzędzia administracyjne, Cloudflare Workers, AWS.
- Grupa UNC2465, powiązana z wcześniejszymi atakami ransomware, prawdopodobnie stoi za kampanią.
Kontekst i konsekwencje
Wykorzystanie malvertisingu do rozpowszechniania złośliwego oprogramowania to nie nowa taktyka, ale jej skuteczność rośnie dzięki możliwości targetowania konkretnych grup zawodowych. Administratorzy systemów i specjaliści IT, szukający narzędzi do pracy, stają się priorytetowym celem. Ponieważ ataki są wymierzone w europejskie organizacje, firmy muszą wzmocnić kontrolę nad pobieraniami i wdrożyć uwierzytelnianie wieloskładnikowe, a także szkolić pracowników w rozpoznawaniu podejrzanych reklam.
W celu ochrony zaleca się korzystanie z oficjalnych źródeł pobierania, sprawdzanie podpisów cyfrowych instalatorów oraz ograniczanie użycia uprawnień administracyjnych. Ważne jest również monitorowanie ruchu sieciowego pod kątem podejrzanych połączeń przez Cloudflare Workers lub AWS.
— Editorial Team
Brak komentarzy.