Malware v pohybu: Jak animované nástrahy nutí uživatele k infikování svých PC

Zpráva Threat Insights Report od HP analyzuje reálné kybernetické útoky a pomáhá organizacím udržet krok s nejnovějšími technikami, které kyberzločinci využívají k obcházení detekce a průnikům do počítačů. Na základě dat z milionů koncových zařízení s HP Wolf Security mezi klíčové poznatky patří:

• Falešná aktualizace Adobe: Falešný PDF soubor s logem Adobe přesměroval uživatele na podvodnou stránku, která napodobovala aktualizaci jejich PDF čtečky. Animovaný průběh instalace napodoboval oficiální aktualizaci a přiměl uživatele ke stažení modifikované verze nástroje ScreenConnect. Tento legitimní nástroj pro vzdálený přístup pak navázal spojení se serverem útočníků a umožnil převzetí zařízení.
• Malware na Discordu obchází obranu Windows 11: Útočníci hostovali škodlivý kód přímo na platformě Discord, aby nemuseli budovat vlastní infrastrukturu a zároveň těžili z důvěryhodné reputace domény. Ještě před nasazením malware upravuje funkci Memory Integrity ve Windows 11, aby obešel tuto vrstvu zabezpečení. Následně infekční řetězec doručí Phantom Stealer – infostealer nabízený na underground fórech formou předplatného modelu, s pravidelnými aktualizacemi a funkcemi pro krádež přístupových údajů a finančních informací. 
• DLL sideloading obchází skenery zabezpečení koncových bodů: Útočníci se vydávali za kolumbijský úřad prokuratury a šířili podvržené právní výzvy prostřednictvím e-mailu. Odkaz vedl na podvodný web napodobující vládní stránky, kde se automaticky spustila animace směřující uživatele k zadání „jednorázového hesla“. To je přimělo ke stažení a otevření zaheslovaného archivu, který obsahoval skrytý škodlivý DLL soubor. Ten instaloval malware PureRAT, který útočníkům poskytl plný vzdálený přístup k zařízení oběti. Detekovatelnost těchto vzorků byla extrémně nízká – antivirové nástroje identifikovaly v průměru jen čtyři procenta z nich.

Patrick Schläpfer, hlavní výzkumník v oblasti hrozeb v HP Security Lab, uvedl: „Útočníci využívají propracované vizuální prvky, jako jsou falešné ukazatele načítání nebo přihlašovací výzvy, aby škodlivé stránky působily důvěryhodně a naléhavě. Současně spoléhají na hotové balíčky malwaru, které se aktualizují stejně rychle jako běžný software. Díky tomu dokážou snadněji obejít bezpečnostní opatření a vynaložit méně úsilí na přípravu útoků.“

Součástí zveřejněné zprávy je i blogový příspěvek analyzující šíření malwaru zaměřeného na krádež přihlašovacích cookies (tedy dat, která udržují aktivní přihlášení), zneužití přístupových údajů a rostoucí výskyt infostealerů. Místo krádeže hesel či obcházení dvoufaktorového ověření (MFA) útočníci často zneužívají cookies, které potvrzují přihlášení uživatele, a získají tak okamžitý přístup k citlivým systémům. Podle analýzy útoků zveřejněných ve 3. čtvrtletí 2025 tvořily infostealery 57 % nejrozšířenějších malwarových rodin.

HP Wolf Security dokáže izolovat hrozby, které uniknou detekci na PC, ale přitom umožňuje jejich bezpečné spuštění v chráněných kontejnerech. Uživatelé HP Wolf Security klikli doposud na více než 55 miliard e-mailových příloh, webových stránek a stažených souborů bez jediného hlášeného průniku.

Zpráva, která zkoumala data z období červenec až září 2025, ukazuje, jak kyberzločinci nadále diverzifikují metody, jak obejít detekční nástroje, například:

• alespoň 11 % e-mailových hrozeb identifikovaných pomocí HP Sure Click obešlo jeden nebo více skenerů e-mailových bran;
• archivní soubory byly nejčastějším nosičem malwaru (45 %), což je nárůst o pět procentních bodů oproti 2. čtvrtletí. Útoky často zneužívají formáty .tar a .z;
• ve 3. čtvrtletí tvořily PDF soubory 11 % zablokovaných hrozeb, což je nárůst o tři procentní body oproti předchozímu období.

Dr. Ian Pratt, globální vedoucí bezpečnosti osobních systémů ve společnosti HP, dodal: „Když útočníci zneužívají legitimní platformy, napodobují značky, kterým lidé věří, a používají vizuálně přesvědčivé triky jako animace, i silné detekční nástroje někdy selžou. Těžko lze předpovědět všechny útoky. Pokud ale organizace izolují rizikové akce, jako je otevírání nedůvěryhodných souborů nebo stránek, získají pojistku, která zastaví hrozbu dřív, než způsobí škodu, a to bez narušení komfortu uživatelů.“

Podkladové údaje byly shromážděny od souhlasících zákazníků HP Wolf Security v období od července do září 2025 na základě šetření provedeného týmem HP Threat Research.