🔐 Cyber Security Daily News | 06.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
DAEMON Tools — oficjalne instalatory z backdoorem od 8 kwietnia, atak trwa do dziś
Kaspersky GReAT ujawnił aktywny atak na łańcuch dostaw: instalatory popularnego narzędzia DAEMON Tools (do montowania obrazów dysków) były trojanizowane bezpośrednio na oficjalnej stronie producenta od 8 kwietnia 2026 roku przez blisko miesiąc, zanim atak wykryto. Zainfekowane wersje (12.5.0.2421–12.5.0.2434) były podpisane ważnym certyfikatem cyfrowym producenta AVB Disc Soft, co skutecznie oszukiwało większość systemów antywirusowych. Malware aktywuje się przy każdym uruchomieniu systemu, zbiera dane o maszynie (MAC, DNS, lista procesów, język systemu) i wysyła je na serwer C2. Na wybranych, "wysokowartościowych" maszynach — rządowych, naukowych, produkcyjnych i handlowych w Rosji, Białorusi i Tajlandii — zainstalowano zaawansowany backdoor QUIC RAT z szerokim wachlarzem protokołów komunikacyjnych. W artefaktach złośliwego kodu zidentyfikowano ślady chińskojęzycznego aktora; sprawa nie jest jednak przypisana konkretnej grupie APT. To czwarty atak supply chain w 2026 roku — po eScan (styczeń), Notepad++ (luty) i CPU-Z (kwiecień). Każdy kto używał DAEMON Tools po 8 kwietnia powinien odinstalować aplikację i przeskanować system.
Źródło: The Hacker News [EN], Kaspersky Blog [EN], BleepingComputer [EN]
Krytyczna luka w Apache HTTP/2 — CISA bije alarm, podatność aktywnie eksploitowana
CISA wydała pilne ostrzeżenie dotyczące krytycznej luki w serwerze Apache (CVE-2026-XXXX) związanej z implementacją protokołu HTTP/2, która umożliwia zdalne wykonanie kodu lub odczyt wrażliwych danych. Apache HTTP Server jest jedną z najczęściej używanych platform webowych na świecie — luka potencjalnie dotyka miliony serwerów. Podatność znalazła się na liście KEV, co oznacza potwierdzoną aktywną eksploatację. Administratorzy serwerów Apache powinni priorytetowo zainstalować dostępną łatkę — każda godzina zwłoki to ryzyko przejęcia. The Register podkreśla, że skumulowanie w tym tygodniu alertów CISA (Apache, cPanel, CopyFail) wskazuje na wyjątkowo aktywny sezon eksploitowania przez grupy ransomware.
Źródło: The Hacker News [EN], The Register [EN]
Microsoft: wyrafinowana kampania phishingowa kradnie tokeny uwierzytelniające 35 000 użytkowników
Dział bezpieczeństwa Microsoft zidentyfikował globalną, skoordynowaną kampanię phishingową, która skompromitowała tokeny sesji i dane logowania ponad 35 000 użytkowników w organizacjach rządowych, finansowych i produkcyjnych. Atakujący wysyłają e-maile podszywające się pod alerty z systemu zgodności (compliance), prowadzące do stron AiTM (adversary-in-the-middle) przechwytujących zarówno hasło, jak i token MFA. Microsoft Teams i Microsoft 365 są głównymi celami — przejęty token sesji daje dostęp do całej korporacyjnej infrastruktury chmurowej. Kampania jest powiązana z grupą UNC2529 i aktywna od początku marca 2026 roku.
Źródło: SecurityWeek [EN], Security Affairs [EN], Infosecurity Magazine [EN]
🚨 INCYDENTY
Włamanie na skrzynki e-mail polskich domów dziecka w Tczewie — wyciek kart dzieci z 8 lat
Centrum Placówek Opiekuńczo-Wychowawczych w Tczewie poinformowało o poważnym incydencie bezpieczeństwa: 1 kwietnia 2026 roku nieznani sprawcy przejęli dwie służbowe skrzynki pocztowe placówek. Analiza logów potwierdziła nieautoryzowany dostęp przez osoby trzecie. Ze względu na charakter korespondencji prowadzonej przez te skrzynki od 2018 roku, placówka założyła możliwość wycieku niezwykle wrażliwych danych — "Kart Dziecka" z lat 2018–2026, dokumentów dotyczących zdrowia, sytuacji rodzinnej, historii pobytów i innych danych podopiecznych. Sprawa została zgłoszona do UODO i CERT Polska. Wyciek danych dzieci przebywających w pieczy zastępczej jest wyjątkowo poważny, bo dane te mogą być wykorzystane do manipulacji lub kontaktu z podopiecznymi. To kolejny przykład polskiej instytucji publicznej zaatakowanej przez cyberprzestępców w ostatnich miesiącach — wcześniej ofiarami padły Politechnika Białostocka i GOPS w Fredropolu.
Źródło: CyberDefence24 [PL]
ShinyHunters ujawnili dane 119 tys. użytkowników Vimeo — ofiarą integrator Anodot
Vimeo oficjalnie potwierdziło, że w wyniku naruszenia środowiska zewnętrznego dostawcy analitycznego Anodot wyciekły dane osobowe 119 000 użytkowników platformy. Skradzione dane obejmują imiona, adresy e-mail i pewne dane korporacyjne. Za atakiem stoi prawdopodobnie ta sama grupa ShinyHunters, która wcześniej w 2026 roku uderzyła w Medtronic, Telus, Zara i Udemy. Incydent jest kolejnym dowodem na to, że nowoczesna firma jest tak bezpieczna jak jej najsłabsze ogniwo w łańcuchu dostawców. Vimeo zakończyło pracę z Anodot i powiadomiło poszkodowanych użytkowników zgodnie z RODO.
Źródło: The Register [EN], Security Affairs [EN]
Instructor (Canvas) — 9 000 szkół zagrożonych po cyberataku
Więcej szczegółów wyciekło w sprawie incydentu bezpieczeństwa platformy edukacyjnej Instructure (Canvas) — systemu używanego przez ponad 9 000 szkół i uczelni wyższych na całym świecie. Zakres potencjalnie naruszonych danych obejmuje informacje o uczniach i studentach, dane kontaktowe nauczycieli, wyniki i inne dokumenty akademickie. Naruszenie mogło dotknąć dziesiątek milionów osób. Instructure prowadzi śledztwo. Dla rodziców, uczniów i pracowników akademickich korzystających z Canvas oznacza to konieczność wzmożonej czujności na próby phishingu.
Źródło: Security Affairs [EN]
💡 CIEKAWOSTKI
WhatsApp: dwie nowe luki — fałszowanie plików i dowolne przekierowanie URL
Meta ujawniła dwie podatności w WhatsApp na Windowsie. Pierwsza (CVE-2025-49848) umożliwia atakującemu "spoofing" pliku — wysłanie linku wyglądającego jak dokument PDF, który po kliknięciu otwiera plik wykonywalny (.exe). Druga (CVE-2026-49849) to błąd walidacji adresu URL, który pozwala przekierować użytkownika na dowolną szkodliwą stronę przez kliknięcie linku w czacie. Obydwie luki działają tylko na Windowsie i wymagają kliknięcia przez ofiarę — ale biorąc pod uwagę, jak naturalnie klikamy linki w wiadomościach od znajomych, próg ataku jest realnie niski. Aktualizacja WhatsApp Desktop do wersji 2.2425.7 lub nowszej usuwa obie podatności. Warto dziś sprawdzić wersję zainstalowanej aplikacji.
Źródło: Malwarebytes [EN], SecurityWeek [EN]
PKO Bank Polski i Policja ostrzegają: fałszywe SMS-y i nowe metody oszustw bankowych
PKO Bank Polski wydał oficjalny komunikat ostrzegający klientów przed nową falą kampanii phishingowych i smishingowych uderzających w posiadaczy kont bankowych. Policja dołącza własne ostrzeżenie: 60-latek stracił ponad 300 złotych po odebraniu "paczki" z płatnością przy odbiorze, której nie zamawiał — klasyczny schemat, w którym ofiara płaci za towar, którego nigdy nie zamówiła. W obu przypadkach przestępcy grają na rutynowości: klikamy powiadomienia SMS automatycznie, bez zastanowienia. Główna zasada: żaden bank nigdy nie prosi przez SMS o podanie pełnego hasła, kodu karty ani o potwierdzenie "bezpieczeństwa konta" przez kliknięcie linku.
Źródło: Dobreprogramy [PL], Dobreprogramy [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Niebezpiecznik alarmuje: fałszywe e-maile od "Ergo Hestia" — obiecują 279 zł, opróżniają konto
CERT Niebezpiecznik śledzi aktywną kampanię phishingową, w której oszuści podszywają się pod towarzystwo ubezpieczeniowe Ergo Hestia. Wiadomość informuje o rzekomym "wyrównaniu płatności" w wysokości 279,79 zł po "aktualizacji zakresu ubezpieczenia". Forma jest profesjonalna, z logo, adresem i datą. Po kliknięciu linku i wypełnieniu formularza danymi karty — przestępcy próbują dodać ją do portfela Google Pay lub dokonać natychmiastowej płatności. Sprytność polega na tym, że 280 zł wydaje się zbyt małą kwotą, żeby być niebezpieczne — a tymczasem prawdziwe straty mogą być wielokrotnie wyższe. Zasada: żaden ubezpieczyciel nie wysyła linków do zwrotów przez e-mail z zewnętrznych domen.
Źródło: Niebezpiecznik [PL]
CERT Polska: uważaj — cyberprzestępcy podszywają się pod twórców chatbotów AI
CERT Polska ostrzega przed nową taktyką stosowaną przez oszustów: podszywaniem się pod producentów popularnych chatbotów AI (ChatGPT, Claude, Gemini). Ofiary otrzymują wiadomości z fałszywymi ofertami "darmowego subskrypcyjnego dostępu premium" lub informacją o "ważności konta AI", które wymagają "potwierdzenia karty płatniczej". Eskalacja tego rodzaju scamów jest wprost proporcjonalna do rosnącej popularności AI — przestępcy wiedzą, że miliony osób korzysta lub chciałoby korzystać z tych narzędzi. Żaden z producentów chatbotów AI nie kontaktuje się z użytkownikami z prośbą o dane karty przez wiadomości e-mail ani SMS — wszelkie płatności obsługiwane są wyłącznie przez oficjalne panele kont.
Źródło: CERT Polska [PL]
🌐 DEZINFORMACJA, CYBER WOJNA
Austria wydala trzech rosyjskich dyplomatów za "las anten" SIGINT na dachach Wiednia
Austria uznała za persona non grata i wydaliła trzech pracowników rosyjskich placówek dyplomatycznych w Wiedniu, podejrzewanych o prowadzenie wywiadu radioelektronicznego (SIGINT) przy użyciu rozbudowanych instalacji antenowych i satelitarnych na dachach budynków rosyjskiej ambasady i osiedla dyplomatów. Austriacki kontrwywiad od lat obserwował "las anten" — sprzęt rozbudowywany intensywnie po rosyjskiej pełnoskalowej inwazji na Ukrainę w 2022 roku. Rosja odmówiła uchylenia immunitetów dyplomatycznych trojga podejrzanych, co zakończyło się wydaleniem. Łącznie od 2020 roku Austria wydaliła już 14 rosyjskich delegatów. Analitycy podkreślają, że podobne instalacje SIGINT zidentyfikowano na dachach rosyjskich budynków przy ul. Beethovena 3 w Warszawie — sprawa ma bezpośredni wymiar dla polskiego bezpieczeństwa.
Źródło: Infosecurity24.pl [PL]
Ćwiczenia Cyber Coalition NATO — tysiące ataków, stres i realne lekcje dla uczestników
CyberDefence24 publikuje kulisy największych ćwiczeń cybernetycznych Sojuszu Północnoatlantyckiego — Cyber Coalition. Uczestnicy mierzą się z tysiącami symulowanych ataków w ciągu kilku dni: ransomware, DDoS, kampanie dezinformacyjne, ataki na infrastrukturę krytyczną. Ćwiczenia mają realistycznie odwzorować presję decyzyjną i stres, z jakim mierzyłyby się prawdziwe zespoły odpowiedzi na incydenty podczas poważnego kryzysu. Udział biorą specjaliści z 40 krajów sojuszniczych i partnerskich. Polska jest aktywnym uczestnikiem — ćwiczenia służą zarówno testowaniu procedur, jak i budowaniu gotowości operacyjnej dla realnych scenariuszy konfliktowych.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 5 maja 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.