🔐 Cyber Security Daily News | 27.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Kampania malware wykorzystuje literówkę w domenie Telegrama — fałszywy instalator kradnie dane
Badacze z K7 Security Lab odkryli aktywną kampanię, w której przestępcy zarejestrowali domeny niemal identyczne z oficjalną stroną pobierania Telegrama — np. telegrgam[.]com z dodatkową literą „g". Technika ta, zwana typosquattingiem, liczy na nieuważnych użytkowników, którzy sami wpisują adres. Fałszywy instalator wygląda identycznie jak oryginał i rzeczywiście instaluje Telegrama — ale przy tym wyłącza antywirusa, dodaje wszystkie partycje systemowe do wykluczeń Windows Defender i uruchamia złośliwy ładunek bezpośrednio z pamięci RAM, co utrudnia wykrycie. Malware łączy się z serwerem C2 jiijua[.]com pod adresem 27.50.59.77 i potrafi pobierać aktualizacje złośliwego kodu. Wniosek jest prosty: zawsze pobieraj oprogramowanie z oficjalnej strony — telegram.org — i weryfikuj plik na VirusTotal, zanim go uruchomisz.
Źródło: Sekurak [PL]
CISA ostrzega przed aktywnie eksploitowaną luką w platformie AI Langflow
Agencja CISA dodała do katalogu KEV krytyczną podatność w Langflow — popularnej platformie do budowania agentów AI i przepływów pracy opartych na modelach językowych. Luka pozwala na przejęcie i manipulację przepływami AI przez nieautoryzowane podmioty. Langflow jest szeroko używany przez firmy tworzące aplikacje oparte na LLM, a jego kompromitacja może oznaczać ingerencję w dane przetwarzane przez modele, wykradanie wyników, a nawet użycie agentów AI do dalszych ataków. To dobrze ilustruje nowy front ataków: zamiast uderzać w klasyczną infrastrukturę IT, atakujący coraz śmielej celują w systemy AI, traktując je jako wartościowe węzły o szerokim dostępie do danych firmowych.
Źródło: BleepingComputer [EN]
Twórca infostealera RedLine ekstradowany do USA i postawiony w stan oskarżenia
Jeden z głównych deweloperów infostealera RedLine — jednego z najpopularniejszych narzędzi do kradzieży danych uwierzytelniających na świecie — został ekstradowany do Stanów Zjednoczonych i postawiony przed sądem federalnym. RedLine przez lata był jednym z dominujących narzędzi MaaS (Malware-as-a-Service) sprzedawanym na forach cyberprzestępczych, odpowiedzialnym za infekcje milionów urządzeń i kradzież haseł, tokenów sesji i portfeli kryptowalutowych. Ekstradycja jest efektem wielomiesięcznej współpracy między europejskimi i amerykańskimi organami ścigania. To sygnał, że twórcy oprogramowania przestępczego — nie tylko jego użytkownicy — coraz częściej trafiają za kratki.
Źródło: HelpNetSecurity [EN]
2. INCYDENTY
Wyciek danych 243 tysięcy pracowników francuskiego resortu edukacji po przejęciu zewnętrznego konta
Francuskie Ministerstwo Edukacji Narodowej potwierdziło poważny incydent cyberbezpieczeństwa, do którego doszło 15 marca poprzez przejęcie zewnętrznego konta z dostępem do systemu COMPAS — służącego do zarządzania stażystami szkół podstawowych i średnich. Atak ujawnił dane osobowe około 243 tysięcy pracowników sektora edukacji: imiona i nazwiska, adresy, numery telefonów oraz informacje o okresach nieobecności. Ministerstwo zgłosiło incydent do ANSSI i CNIL, uruchomiło sztab kryzysowy i zawiesiło zewnętrzny dostęp do systemu. Pracownicy objęci naruszeniem są ostrzegani przed ryzykiem phishingu i podszywania się pod instytucje. Incydent po raz kolejny pokazuje, że przejęcie jednego konta z zewnętrznym dostępem do systemu może mieć ogromną skalę skutków.
Źródło: CyberDefence24 [PL]
Włamanie na serwery Ajaksu Amsterdam ujawniło dane kibiców i umożliwiło przechwycenie biletów
Holenderski klub piłkarski Ajax Amsterdam padł ofiarą cyberataku, który naruszył dane kibiców korzystających z systemu biletowego. Atakujący uzyskali dostęp do bazy danych zawierającej dane osobowe fanów i — co szczególnie dotkliwe — mechanizmy umożliwiające przechwycenie i przekierowanie cyfrowych biletów na mecze. Oznacza to, że przestępcy mogli potencjalnie uniemożliwić prawdziwym kibicom wejście na stadion lub sami sprzedawać skradzione bilety. Ajax poinformował klub o incydencie i wdrożył środki zaradcze, ale szczegóły dotyczące skali naruszenia nie zostały w pełni ujawnione. Sektor sportowy jest niedocenianym celem cyberprzestępców — przechowuje dane kart płatniczych, dane osobowe setek tysięcy kibiców i wartościowe cyfrowe aktywa (bilety, karnety sezonowe).
Źródło: BleepingComputer [EN]
Rosja aresztowała podejrzanego właściciela i administratora forum cyberprzestępczego LeakBase
Rosyjskie organy ścigania aresztowały osobę podejrzaną o bycie właścicielem i administratorem serwisu LeakBase — platformy służącej do kupna i sprzedaży skradzionych danych uwierzytelniających, danych osobowych i innych informacji pozyskanych w wyniku wycieków i włamań. LeakBase był jednym z aktywniejszych rynków tego typu, zasilającym kampanie credential stuffing i ataki na konta firm i osób prywatnych na całym świecie. Aresztowanie jest o tyle ciekawe, że rosyjskie służby rzadko ingerują w działalność cyberprzestępców uderzających w cele zachodnie, o ile nie atakują celów rosyjskich lub nie naruszają rosyjskich interesów. Może to sygnalizować wewnętrzny konflikt lub kwestię jurysdykcyjną.
Źródło: BleepingComputer [EN] | Security Affairs [EN]
Naruszenie danych u dostawcy usług ujawniło informacje pracowników platformy HackerOne
Platforma bug bounty HackerOne — miejsce, gdzie badacze bezpieczeństwa zgłaszają podatności w tysiącach firm i produktów — poinformowała o incydencie u jednego ze swoich zewnętrznych dostawców (Navia), w wyniku którego doszło do wycieku danych pracowników. Jest to o tyle ironiczne, że HackerOne jest jedną z czołowych platform promujących odpowiedzialne ujawnianie podatności i cyberbezpieczeństwo. Incydent pokazuje, że nawet firmy z sektora bezpieczeństwa nie są odporne na ataki na łańcuch dostaw — i że ryzyko z zewnętrznych dostawców dotyczy każdej organizacji, niezależnie od branży.
Źródło: The Register [EN]
3. CIEKAWOSTKI
Międzynarodowa operacja organów ścigania rozbija infrastrukturę infostealerów — 32 aresztowania
SecurityBezTabu opisuje zakończoną operację Interpolu i organów ścigania z kilku krajów, wymierzoną bezpośrednio w infrastrukturę infostealerów — złośliwego oprogramowania wyspecjalizowanego w kradzieży haseł, tokenów sesji i portfeli kryptowalutowych. Akcja objęła przejęcie serwerów C2, domen i baz danych ze skradzionymi logami, a efektem było 32 aresztowania i ochrona ponad 216 tysięcy ofiar w regionie APAC. Operacja podkreśla ważny trend: infostealery nie są już izolowanym zagrożeniem — są kluczowym ogniwem, które zasila całe ekosystemy cyberprzestępcze: od phishingu i kradzieży tożsamości po ataki BEC i wdrożenia ransomware. Dla obrońców kluczowe jest MFA odporne na phishing i monitoring sesji.
Źródło: SecurityBezTabu [PL]
NCSC ostrzega: „vibe coding" z AI przyspiesza programowanie, ale tworzy nowe luki bezpieczeństwa
Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) wydało ostrzeżenie przed zjawiskiem tzw. „vibe coding" — pisaniem kodu w całości przez LLM (modele językowe), bez dogłębnej weryfikacji bezpieczeństwa przez programistę. AI generuje działający kod bardzo szybko, ale modele językowe nie mają wbudowanego instynktu bezpieczeństwa: mogą tworzyć kod z podatnościami na SQL injection, XSS, błędami autoryzacji czy błędną obsługą danych wrażliwych. Problem narasta, bo presja na szybkość dostarczania oprogramowania sprawia, że audyt bezpieczeństwa bywa pomijany. NCSC apeluje o wdrożenie bezpiecznego SDLC (Secure Software Development Lifecycle) nawet (a może zwłaszcza) gdy kod jest generowany przez AI — bo AI nie zastąpi ludzkiego code review pod kątem bezpieczeństwa.
Źródło: SecurityBezTabu [PL]
Jak rozpoznać deepfake'owy telefon „od szefa"? Praktyczne wskazówki
Techno-Senior opisuje rosnące zagrożenie ze strony deepfake'ów głosowych i wideo używanych w atakach na firmy. Schemat jest coraz powszechniejszy: pracownik otrzymuje telefon lub wiadomość wideo rzekomo od prezesa lub dyrektora finansowego z pilną prośbą o przelew lub przekazanie danych. AI potrafi dziś sklonować głos na podstawie kilkusekundowej próbki z mediów społecznościowych lub YouTube, a wideo deepfake jest coraz trudniejszy do odróżnienia gołym okiem. Artykuł podaje praktyczne wskazówki: zawsze weryfikuj pilne prośby o przelew przez inny kanał komunikacji (np. zadzwoń na znany numer), zwracaj uwagę na nienaturalne gesty, mruganie i opóźnienia ruchu ust, a w organizacji wdróż procedury weryfikacji transakcji finansowych niezależnie od tego, kto o nie prosi.
Źródło: Techno-Senior [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
NASK ostrzega przed nasileniem fałszywych reklam na TikToku kradnących pieniądze i dane
NASK i CERT Polska wydały ostrzeżenie przed gwałtownym wzrostem liczby fałszywych reklam wyświetlanych w oficjalnym systemie reklamowym TikToka. Kampanie są przygotowywane profesjonalnie — używają logotypów znanych mediów i marek, wizerunku osób publicznych i AI-generowanych treści, przez co na pierwszy rzut oka są nieodróżnialne od legalnych reklam. Po kliknięciu ofiara trafia na spreparowane strony — fałszywe platformy inwestycyjne, sklepy lub serwisy hazardowe. W niektórych wariantach link prowadzi do instalacji złośliwej aplikacji spoza oficjalnych sklepów, która przejmuje SMS-y, powiadomienia i dane logowania. Problem systemowy polega na tym, że platformy reklamowe są zaprojektowane do szybkiego publikowania kampanii, co nadużywają też oszuści — a fałszywe reklamy mogą trafić do milionów użytkowników zanim zostaną usunięte.
Źródło: CyberDefence24 [PL] | Techno-Senior [PL]
Nowy schemat phishingu: e-mail o nadpłacie prowadzi do podrobionej strony i kradzieży danych logowania
Dobreprogramy opisują relację czytelnika, który otrzymał e-mail z powiadomieniem o rzekomej „nadpłacie" na jego koncie — klasyczny, ale wciąż skuteczny pretekst. Wiadomość była dobrze napisana, zawierała logo firmy i link do „odbioru zwrotu". Po kliknięciu otwierała się strona wyglądająca jak oficjalny panel logowania, gdzie ofiara była proszona o podanie danych uwierzytelniających. Schemat działa na prostej zasadzie: obiecuje pieniądze, więc angażuje uwagę i obniża czujność. Dobreprogramy przypominają żelazną zasadę: nigdy nie loguj się do żadnego serwisu przez link z e-maila — zawsze wpisuj adres ręcznie lub korzystaj z zakładek przeglądarki. Linki w e-mailach mogą prowadzić do domen niemal identycznych z oryginałem, różniących się jedną literą lub końcówką.
Źródło: Dobreprogramy [PL]
GlassWorm instaluje fałszywe rozszerzenie przeglądarki umożliwiające ciągłe szpiegowanie
Malwarebytes opisuje nową taktykę grupy GlassWorm — tej samej, która w poprzednich tygodniach infekował repozytoria VS Code i Open VSX. Tym razem atakujący instalują fałszywe rozszerzenie przeglądarki, które na pierwszy rzut oka wygląda jak legalne narzędzie produktywności lub bezpieczeństwa. Po instalacji rozszerzenie działa jako trwały moduł szpiegowski: przechwytuje zawartość odwiedzanych stron, dane formularzy, ciasteczka sesji i tokeny uwierzytelniania. W odróżnieniu od jednorazowego infostealera, rozszerzenie trwa w systemie i śledzi aktywność użytkownika przez długi czas. Weryfikacja zainstalowanych rozszerzeń przeglądarki powinna być elementem regularnego audytu bezpieczeństwa — zwłaszcza w środowiskach korporacyjnych.
Źródło: Malwarebytes [EN]
5. DEZINFORMACJA, CYBER WOJNA
Pakistan szpiegował infrastrukturę krytyczną Indii przez kamery CCTV — Indie zarządzają audyt
Rząd Indii nakazał kontrolę wszystkich kamer CCTV działających na terenie kraju po odkryciu urządzeń, które miały służyć Pakistanowi do szpiegowania indyjskiej infrastruktury krytycznej. Kamery podłączone do internetu — od lotnisk, przez elektrownie, po obiekty rządowe — były potencjalnym oknem wywiadowczym. Urządzenia IoT, w tym kamery przemysłowe, są klasycznym wektorem szpiegostwa: często nie są aktualizowane latami, mają domyślne hasła i bywają podłączone do sieci bez odpowiedniej segmentacji. Incydent wpisuje się w szerszy trend napięć technologiczno-wywiadowczych między Indiami a Pakistanem, ale lekcja jest universalna: urządzenia IoT wymagają takiego samego zarządzania bezpieczeństwem jak każdy inny element infrastruktury IT.
Źródło: CyberDefence24 [PL] | The Register [EN]
Chiński aktor Red Menshen wykryty głęboko w kręgosłupie infrastruktury telekomunikacyjnej
SecurityWeek i The Hacker News opisują odkrycie, że chińska grupa APT Red Menshen — znana z używania narzędzia BPFDoor do ukrywania obecności w systemach — była głęboko zakorzeniona w infrastrukturze backbone kilku operatorów telekomunikacyjnych. BPFDoor to szczególnie trudny do wykrycia backdoor, który działa na poziomie jądra systemu Linux i nie otwiera żadnych nowych portów sieciowych — odpowiada tylko na spreparowane pakiety sieciowe, co sprawia, że standardowe skany portów go nie wykrywają. Dostęp do sieci kręgosłupowych operatorów telekomunikacyjnych to marzenie każdego wywiadu: daje możliwość podsłuchiwania metadanych ruchu, identyfikowania połączeń między osobami i potencjalnie ingerowania w transmisję danych. Kampania potwierdzana jest przez HelpNetSecurity, który opublikował specjalny skrypt detekcji dla BPFDoor.
Źródło: The Hacker News [EN] | SecurityWeek [EN]
UK nałożyła sankcje na platformę Xinbi powiązaną z azjatyckimi centrami oszustw
Wielka Brytania nałożyła sankcje na rynek Xinbi — platformę kryptowalutową, która według śledczych służyła jako infrastruktura finansowa dla azjatyckich centrów oszustw (tzw. scam compounds — zakłady pracy przymusowej, gdzie ofiary traffickingu były zmuszane do prowadzenia cyberprzestępstw). Xinbi przetwarzała setki milionów dolarów w kryptowalutach dla operacji fraudu obejmujących oszustwa „pig butchering" (długoterminowe manipulacje emocjonalne prowadzące do wyłudzenia pieniędzy na fałszywe inwestycje), fałszywe platformy randkowe i inne schematy. Sankcje blokują aktywa powiązane z platformą i zakazują obywatelom UK prowadzenia z nią transakcji. To element szerszej kampanii zachodnich rządów wymierzonej w finansową infrastrukturę cyberprzestępczości.
Źródło: BleepingComputer [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 26 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.