🔐 Cyber Security Daily News | 04.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CERT Polska analizuje „cifrat" — wieloetapowy RAT na Androida dystrybuowany przez fałszywy Booking.com
CERT Polska opublikował szczegółową analizę techniczną nowego, wcześniej nieznanego złośliwego oprogramowania na Androida, ochrzczonego roboczo „cifrat". Ofiara otrzymuje phishingowego e-maila z linkiem do fałszywej strony aktualizacji aplikacji Booking.com, z której pobiera APK udający „Booking Pulse". Ten APK to jedynie zewnętrzna powłoka: ładuje bibliotekę natywną, ta odszyfrowuje drugiego APK podszywającego się pod Google Play Services, a ten z kolei rozpakowuje zasób FH.svg (szyfrowany RC4 z kluczem mLYQ), by ostatecznie uruchomić pełnoprawnego RAT-a. Finalny payload komunikuje się z serwerem C2 otptrade.world przez dwa osobne kanały WebSocket (port 8443 dla poleceń, 8444 dla danych) i oferuje pełny arsenał: keylogging, przechwytywanie ekranu, nakładki HTML do phishingu, dostęp do SMS-ów, obsługę kamery oraz tunel SOCKS5. Nigdy nie instaluj aplikacji z linków spoza oficjalnych sklepów — to zasada chroniąca przed tego rodzaju atakami.
Źródło: CERT Polska [PL]
Apple wydaje aktualizację iOS 18.7.7 zamykającą exploit DarkSword, rozszerzając ochronę na starsze urządzenia
Apple rozszerzyło łatki bezpieczeństwa adresujące exploit DarkSword na iOS 18.7.7, obejmując ochroną starsze urządzenia, które wcześniej nie otrzymały aktualizacji. DarkSword to komercyjny zestaw exploitów wymierzony w iPhone'y z iOS 18.4–18.7, aktywnie wykorzystywany przez grupę TA446 (powiązaną z rosyjskim wywiadem) w kampaniach phishingowych. Łatka jest szczególnie ważna dla użytkowników urządzeń z kilkoma generacjami wstecz, które mogą mieć problemy z instalacją najnowszych wersji iOS. Infosecurity Magazine, Dark Reading i Malwarebytes zgodnie podkreślają pilność tej aktualizacji: exploit jest aktywnie eksploatowany, a nie hipotetyczny. Użytkownicy Apple powinni niezwłocznie zaktualizować iOS.
Źródło: Infosecurity Magazine [EN] | Dark Reading [EN] | Malwarebytes [EN]
NCSC ostrzega przed próbami przejęcia kont przez WhatsApp i Signal — atakujący podszywają się pod zaufane osoby
Infosecurity Magazine opisuje ostrzeżenie brytyjskiego NCSC (National Cyber Security Centre) dotyczące rosnącej liczby ataków wymierzonych w użytkowników WhatsApp i Signal. Atakujący podszywają się pod znajomych lub kolegów z pracy i przez komunikatory próbują skłonić ofiary do podania kodów weryfikacyjnych, dzięki którym mogą przejąć konto. Technika ta jest szczególnie skuteczna, bo ofiara widzi wiadomość od „zaufanej" osoby w aplikacji, która potocznie uchodzi za bezpieczną. NCSC zaleca włączenie dwustopniowego PIN-u w obu komunikatorach — dodatkowe zabezpieczenie blokuje takie przejęcia nawet po przechwyceniu SMS-owego kodu weryfikacyjnego.
Źródło: Infosecurity Magazine [EN]
2. INCYDENTY
Cyberatak na Komisję Europejską ujawnił dane 30 instytucji UE — CERT-EU potwierdza zakres wycieku
BleepingComputer informuje, że CERT-EU (unijny zespół reagowania na incydenty) potwierdził, iż niedawny atak na infrastrukturę chmurową Komisji Europejskiej uderzył w dane należące do 30 instytucji i agencji UE. Zakres naruszenia jest zatem znacznie szerszy niż początkowo zakładano — obejmuje nie tylko zasoby samej KE, ale też dane innych organów unijnych korzystających z tej samej platformy chmurowej. Szczegółów dotyczących rodzaju wykradzionych informacji nadal nie podano, ale skala incydentu rodzi pytania o poziom izolacji danych między różnymi podmiotami UE w środowiskach chmurowych. Hakerzy z grupy ShinyHunters przypisują sobie ten atak.
Źródło: BleepingComputer [EN]
Ransomware Qilin wykradł dane z niemieckiej partii Die Linke — potwierdzony atak na organizację polityczną
BleepingComputer potwierdza, że Die Linke — lewicowa partia polityczna w Niemczech — padła ofiarą grupy ransomware Qilin. Partia przyznała, że sprawcy wykradli dane z jej systemów. Ataki na partie polityczne są szczególnie niepokojące ze względu na potencjał exploatowania skradzionych informacji nie tylko w celach finansowych, ale też do operacji wpływu czy wywiadu politycznego. Qilin jest tą samą grupą, która w 2024 roku zaatakowała dostawcę usług laboratoryjnych NHS w Wielkiej Brytanii, a kilka dni temu pojawiły się doniesienia o jej rzekomym ataku na Dow Inc. Incydent w Die Linke pokazuje, że partie polityczne są równie podatnym i atrakcyjnym celem jak firmy komercyjne.
Źródło: BleepingComputer [EN]
Hims & Hers Health ostrzega klientów o naruszeniu danych po incydencie w systemie Zendesk
BleepingComputer informuje, że Hims & Hers — firma z branży telemedycyny i zdrowia — wysłała powiadomienia do klientów po tym, jak atak na system obsługi zgłoszeń Zendesk ujawnił dane z ticketów podporowych. Incydent podkreśla ryzyko związane z łańcuchem dostaw oprogramowania SaaS: nawet dobrze zabezpieczona firma może ponieść konsekwencje naruszenia u zewnętrznego dostawcy narzędzi. Zendesk jest używany przez tysiące firm na całym świecie do obsługi klientów, a dostęp do historii zgłoszeń może ujawniać wrażliwe informacje o zdrowiu, dane osobowe i historię transakcji. Klienci, którzy kontaktowali się z pomocą techniczną Hims & Hers, powinni być czujni na wszelkie próby phishingu wykorzystującego te informacje.
Źródło: BleepingComputer [EN]
3. CIEKAWOSTKI
Polska ustawa o nadzorze nad podsłuchami: Fundacja Panoptykon ocenia projekt jako legislacyjną wydmuszkę
Fundacja Panoptykon przeanalizowała rządowy projekt ustawy mającej wzmocnić nadzór sądowy nad kontrolą operacyjną służb — czyli nad podsłuchami, obserwacją i inwigilacją. Celem miała być reforma zapobiegająca sytuacjom podobnym do afery Pegasusa, gdzie sądy wyrażały zgodę na „podsłuch", nie wiedząc, że zgadzają się na przejęcie pełnej kontroli nad urządzeniem. Nowe przepisy dają sądom możliwość — ale nie obowiązek — bieżącej weryfikacji działań służb i przerwania kontroli. Problem w tym, że prezes Sądu Okręgowego w Warszawie przyznała wprost, że to jest niewykonalne przy obecnych zasobach kadrowych — sędzia musiałby przeglądać dziesiątki godzin nagrań, zanim mógłby podjąć decyzję. Panoptykon ocenia, że proponowane przepisy pozostają na papierze i nie zapewniają realnej ochrony przed nadużyciami.
Źródło: Panoptykon [PL]
Policja będzie mogła przetwarzać dane obywateli bez ograniczeń — UODO alarmuje ws. nowych przepisów
CyberDefence24 opisuje alarm Urzędu Ochrony Danych Osobowych w związku z nowym projektem przepisów dającym Policji możliwość przetwarzania danych osobowych obywateli bez dotychczasowych ograniczeń czasowych i zakresowych. UODO wskazuje, że projekt narusza zasadę proporcjonalności: dane gromadzone dla jednego celu mogłyby być dalej przetwarzane dla innych, bez wiedzy i zgody osoby, której dotyczą. Polska jest zobowiązana do implementacji unijnej dyrektywy policyjnej, która nakłada konkretne wymagania co do ochrony danych przetwarzanych przez organy ścigania — a proponowane przepisy mogą te wymagania naruszać. To kolejny sygnał, że rozbudowane bazy danych policyjne wymagają silnych gwarancji prawnych, nie tylko technicznych.
Źródło: CyberDefence24 [PL]
Ransomware wielokrotnego wymuszenia: ewolucja ataków od szyfrowania do wielowektorowej presji
BleepingComputer opisuje, jak ransomware przeszło od prostego modelu „zaszyfruj i zażądaj okupu" do wieloetapowych operacji wymuszenia. Współczesne grupy stosują przynajmniej cztery wektory nacisku równocześnie: szyfrowanie danych, grożenie ich ujawnieniem w serwisach dark web, ataki DDoS na infrastrukturę ofiary oraz bezpośredni kontakt z klientami i partnerami biznesowymi firmy — informując ich o naruszeniu. Ten ostatni element jest szczególnie destrukcyjny dla reputacji i relacji biznesowych, często wymuszając zapłatę nawet wtedy, gdy firma mogłaby technicznie odtworzyć dane z backupów. Artykuł to dobre przypomnienie, że backup to konieczność, ale nie jedyne zabezpieczenie przed współczesnym ransomware.
Źródło: BleepingComputer [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Trzy aktywne kampanie phishingowe w Polsce: Booking.com, DPD i NFZ — ostrzeżenia Dobreprogramy i CERT Polska
Dobreprogramy opisuje aż trzy równoległe kampanie phishingowe aktywne w Polsce. Pierwsza podszywa się pod Booking.com — ofiary otrzymują e-maile rzekomo od hotelu proszące o pilne potwierdzenie rezerwacji, a link prowadzi do strony wykradającej dane karty płatniczej. Druga imituje kuriera DPD, informując o „niedostarczeniu paczki" i konieczności dopłaty. Trzecia podszywała się pod NFZ (opisywana w poprzednim zestawieniu). Wszystkie trzy kampanie łączy ten sam schemat: presja czasu, wiarygodna szata graficzna i link do fałszywej strony. W przypadku Booking.com warto wiedzieć, że prawdziwy hotel nigdy nie prosi o dane karty przez e-mail — wszelkie płatności odbywają się przez platformę Booking lub bezpośrednio przy zameldowaniu.
Źródło: Dobreprogramy (Booking) [PL] | Dobreprogramy (DPD) [PL]
Hakerzy używają fałszywych e-maili prawnych do dystrybucji malware — nowa kampania socjotechniczna
CySecurity opisuje kampanię, w której atakujący wysyłają e-maile imitujące oficjalną korespondencję prawną — wezwania do sądu, powiadomienia o naruszeniu prawa autorskiego czy nakazy administracyjne. Presja związana z „pozwem" lub „roszczeniem prawnym" jest silnym czynnikiem motywującym ofiarę do natychmiastowego otwarcia załącznika lub kliknięcia w link bez dokładnej weryfikacji. Załączniki ukrywają różne warianty malware, w tym infostealery i trojany zdalnego dostępu. Kampania jest szczególnie skuteczna wobec przedstawicieli małych firm i freelancerów, którzy mogą obawiać się rzeczywistych konsekwencji prawnych.
Źródło: CySecurity News [EN]
Cisco IMC podatne na krytyczny błąd CVE-2026-20093 — możliwy nieuprawniony dostęp do zarządzania serwerami
HelpNetSecurity informuje o krytycznej podatności CVE-2026-20093 w Cisco Integrated Management Controller (IMC) — narzędziu do zarządzania serwerami Cisco „poza pasmem", które pozwala administratorom obsługiwać sprzęt nawet gdy główny system operacyjny jest wyłączony lub nieosiągalny. Błąd może umożliwić nieautoryzowanemu atakującemu uzyskanie dostępu do funkcji zarządzania, co w praktyce daje kontrolę nad sprzętem na bardzo niskim poziomie. IMC jest używany w środowiskach centrów danych i korporacyjnych — kompromitacja tego narzędzia jest szczególnie groźna, bo może przeżyć nawet reinstalację systemu operacyjnego. Cisco wydało łatki i zaleca pilną aktualizację.
Źródło: HelpNetSecurity [EN]
5. DEZINFORMACJA, CYBER WOJNA
Rosja tworzy „białą listę" dozwolonych serwisów internetowych — plany odcięcia od globalnej sieci
CyberDefence24 opisuje rosyjskie plany tworzenia oficjalnej „białej listy" stron i serwisów internetowych, które będą dostępne na terenie Rosji — ruch zmierzający ku modelowi chińskiego „Wielkiego Firewall". Inicjatywa wpisuje się w wieloletnią strategię budowania RuNet — izolowanej rosyjskiej sieci internetowej odpornej na odcięcie od globalnej infrastruktury. Dotychczasowe blokady w Rosji działały reaktywnie (blokowanie konkretnych serwisów), podczas gdy białe listy zmieniają model na restrykcyjny: dozwolone jest tylko to, co wyraźnie zaakceptowane. Dla rosyjskich obywateli oznaczałoby to praktyczną likwidację dostępu do niezależnych mediów, zagranicznych usług i swobodnej komunikacji z zagranicą.
Źródło: CyberDefence24 [PL]
Północnokoreańscy hakerzy wykorzystują GitHub do szpiegowania południowokoreańskich firm
HackRead opisuje kampanię grup powiązanych z Koreą Północną, które infiltrują repozytoria GitHub i platformy deweloperskie do zbierania informacji wywiadowczych o południowokoreańskich firmach technologicznych. Atakujący tworzą fałszywe konta deweloperów, wchodzą w interakcje z repozytoriami (w tym przez pull requesty zawierające złośliwe zmiany) i zbierają metadane organizacji — strukturę zespołów, technologie, stosowane biblioteki, powiązania z dostawcami. Informacje te służą zarówno do planowania późniejszych ataków, jak i do szpiegostwa gospodarczego. Incydent pokazuje, że nawet publiczne aktywności na platformach deweloperskich mogą dostarczać wywiadowi wartościowych danych o strukturze i możliwościach organizacji.
Źródło: HackRead [EN]
Microsoft: nadużywanie AI przez aktorów zagrożeń przyspiesza — AI staje się jednocześnie narzędziem i powierzchnią ataku
Microsoft Security Blog opublikował raport pokazujący, że grupy APT powiązane z Rosją, Chinami, Iranem i Koreą Północną intensywnie integrują narzędzia AI w swoich operacjach. Nie chodzi już tylko o użycie modeli językowych do pisania phishingowych e-maili czy tłumaczenia — ugrupowania testują AI do automatyzacji rozpoznania celów, generowania exploitów i tworzenia złośliwego kodu. Jednocześnie systemy AI stają się samodzielną powierzchnią ataku: ataki na modele językowe przez prompt injection, wykradanie danych z systemów AI-agentów czy manipulacja wynikami modeli to rosnąca kategoria zagrożeń. Microsoft wskazuje, że rok 2026 jest przełomowy pod względem militaryzacji AI przez aktorów państwowych.
Źródło: Microsoft Security Blog [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 03 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.