Eset opublikował najnowszy Threat Report, podsumowujący najważniejsze trendy w krajobrazie zagrożeń obserwowane w telemetrii oraz z perspektywy ekspertów ds. wykrywania i analizy zagrożeń. Raport obejmuje okres od grudnia 2024 do maja 2025. Jednym z najbardziej uderzających zjawisk tego półrocza był wzrost liczby zagrożeń ClickFix – podstępnego wektora ataku, którego aktywność wzrosła o ponad 500% względem drugiej połowy 2024 roku.
ClickFix, HTML/FakeCaptcha stał się jednym z najszybciej rosnących zagrożeń, odpowiadając za niemal 8% wszystkich zablokowanych ataków w pierwszym półroczu 2025. w tej chwili jest to drugi najczęściej wykorzystywany wektor ataku – zaraz po phishingu. W Polsce stanowił 5,3% wszystkich ataków.
Ataki typu ClickFix polegają na wyświetleniu fałszywego komunikatu o błędzie, który ma na celu nakłonienie ofiary do samodzielnego skopiowania, wklejenia i uruchomienia złośliwego kodu na swoim urządzeniu. Wektor ten dotyka wszystkich głównych systemów operacyjnych – Windows, Linux oraz macOS.
Również w obszarze infostealerów zaszły istotne zmiany. Agent Tesla stopniowo traci na znaczeniu, ustępując miejsca SnakeStealerowi (znanemu również jako Snake Keylogger), który stał się najczęściej wykrywanym infostealerem w telemetrii Eset. SnakeStealer umożliwia m.in. rejestrowanie naciśnięć klawiszy, kradzież zapisanych danych logowania, wykonywanie zrzutów ekranu oraz przechwytywanie zawartości schowka. Wykryto kilka kampanii SnakeStealer wymierzonych w Europę Środkową i Wschodnią. Wśród monitorowanych krajów, Polska i Łotwa odnotowały największą liczbę prób ataków. Licząc tylko te szczególnie intensywne próby, które były albo ukierunkowane, albo wymagały znacznych środków, aby wyglądać wiarygodnie, zaobserwowaliśmy ich prawie 5 tys. na Łotwie oraz ponad 18 tys. w Polsce. Dane te obejmują okres od stycznia do kwietnia 2025 roku.
Tę sytuację można tłumaczyć zarówno skutecznymi działaniami służb prowadzącymi do likwidacji infrastruktur przestępczych i tzw. exit scamami, które przetasowały układ sił w 2024 roku, jak i coraz mniejszym zaufaniem ofiar do tego, iż cyberprzestępcy dotrzymają warunków „umowy”.
W ekosystemie Androida wykrycia adware wzrosło aż o 160%, głównie za sprawą zaawansowanego zagrożenia o nazwie Kaleidoscope. To złośliwe oprogramowanie wykorzystuje strategię tzw. „złego bliźniaka” (evil twin), a rozpowszechniane fałszywe aplikacje zasypują użytkownika natrętnymi reklamami, znacząco obniżając wydajność urządzenia.
Równolegle, oszustwa wykorzystujące technologię NFC wzrosły ponad 35-krotnie, napędzane kampaniami phishingowymi. Choć liczby bezwzględne pozostają na razie stosunkowo niewielkie, tak gwałtowny wzrost pokazuje, jak gwałtownie ewoluują metody działania cyberprzestępców i jak silnie koncentrują się oni na lukach w systemach płatności zbliżeniowych. Także w przypadku tego rodzaju zagrożenia Polska zajmuje wysokie miejsce wśród atakowanych państw.
Badania Eset nad GhostTap ujawniają, w jaki sposób narzędzie to kradnie dane kart płatniczych, umożliwiając cyberprzestępcom dodawanie skradzionych kart do własnych cyfrowych portfeli i dokonywanie nieautoryzowanych płatności zbliżeniowych na całym świecie. Zorganizowane farmy oszustw wykorzystują wiele urządzeń mobilnych, by skalować te ataki.
SuperCard X to przykład prostego, minimalistycznego narzędzia typu malware-as-a-service, które umożliwia kradzież danych NFC. Aplikacja podszywa się pod niewinną aplikację związaną z obsługą NFC – po zainstalowaniu na urządzeniu ofiary działa w tle, przechwytując i przekazując dane kart w czasie rzeczywistym, co pozwala na szybkie zyski dla atakujących.
Więcej informacji można znaleźć w raporcie Eset Threat Report H1 2025.
