Dajte si pozor na falošnú chybu ClickFix a aktualizujte si zraniteľný WinRAR

Letný režim sa skončil a spolu s ním aj krátka pravidelná prestávka tohto stĺpčeka. Svet sa však za ten čas príliš nezmenil. A ani kyberzločin nepozná pauzu. Tak ako po celý čas ani teraz si nedali oddych ani naši výskumníci, ktorí aj v lete sledovali nové hrozby, analyzovali útoky a v Labe pracujú na tom, aby sme boli o krok vpred pred útočníkmi.

Hneď začiatkom leta sme vydali súhrnnú správu o hrozbách ESET Threat Report H1 2025. Správa zachytáva dáta zaznamenané v telemetrii spoločnosti ESET a vyhodnotené jej výskumníkmi za obdobie od decembra 2024 do mája 2025. Jeden z najvýraznejších trendov v tomto období bol nárast útokov ClickFix, nového podvodného vektora, ktorý prudko vzrástol o viac než 500 % v porovnaní s druhou polovicou roku 2024. Ide o jednu z najrýchlejšie rastúcich hrozieb, predstavujúcu takmer 8 % všetkých zablokovaných útokov, a v súčasnosti druhý najčastejší vektor po phishingu.

Útoky ClickFix zobrazujú falošnú chybu, ktorá manipuluje obeť, aby skopírovala, vložila a vykonala škodlivé príkazy na svojom zariadení. Tento vektor útoku postihuje všetky hlavné operačné systémy vrátane Windows, Linux a Mac OS. Zoznam hrozieb, ktoré ClickFix umožňuje šíriť, sa neustále rozrastá a zahŕňa infostealery, ransomvér, trójske kone na vzdialený prístup, kryptominery, postexploitačné nástroje a dokonca aj vlastný malvér útočníkov napojených na národné štáty.

Výrazné zmeny sme zaznamenali aj v oblasti infostealerov. Po ústupe Agenta Tesla sa do popredia dostal SnakeStealer (známy aj ako Snake Keylogger), ktorý sa stal najčastejšie detegovaným infostealerom v našej telemetrii. SnakeStealer dokáže zaznamenávať stlačenia klávesov, kradnúť uložené prihlasovacie údaje, zachytávať snímky obrazovky a zbierať údaje zo schránky.

V oblasti hrozieb pre Android stúpol počet detekcií advéru o 160 %, čo je najmä dôsledok novej sofistikovanej hrozby nazvanej Kaleidoscope. Tento malvér využíva stratégiu „zlého dvojčaťa“ na distribúciu škodlivých aplikácií, ktoré používateľov zahlcujú dotieravými reklamami a výrazne znižujú výkon zariadenia. Navyše sa viac než 35-násobne zvýšil počet podvodov založených na technológii NFC, podporovaných phishingovými kampaňami a vynaliezavými technikami prenášania signálu z legitímnych zariadení útočníkmi. Hoci celkové čísla nie sú dramaticky vysoké, tento výrazný nárast poukazuje na rýchly vývoj metód kyberzločincov a ich zameranie na zneužívanie technológie NFC.

Celú správu v anglickom jazyku si môžete prečítať na našej webovej stránke WeLiveSecurity.com.

No leto nebolo v našom výskume iba o rekapitulovaní, ale aj o objavovaní. Napríklad naši výskumníci Peter Strýček a Anton Cherepanov objavili doteraz neznámu zraniteľnosť v programe WinRAR, ktorú zneužila skupina RomCom napojená na Rusko. Vo výskume im pomáhal aj Damien Schaeffer. Podľa telemetrie spoločnosti ESET boli škodlivé komprimované súbory použité v spearphishingových kampaniach v období od 18. do 21. júla 2025. Zamerané boli na finančné, výrobné, obranné a logistické spoločnosti v Európe a Kanade. Cieľom útokov bola kyberšpionáž. Je to už minimálne tretíkrát, čo bola skupina RomCom pristihnutá pri zneužívaní významnej zraniteľnosti typu zero-day.

Preto odporúčame používateľom WinRAR, aby si čo najskôr nainštalovali najnovšiu verziu.  Chyba CVE-2025-8088 je zraniteľnosť typu path traversal, ktorá umožňuje použitie alternatívnych dátových tokov.

Škodlivé archívy, zamaskované ako aplikačné dokumenty, zneužívali tok typu path traversal na kompromitovanie svojich cieľov. V spearphishingových e-mailoch útočníci zaslali životopisy v nádeji, že obete ich otvoria. Našťastie – aspoň podľa našej telemetrie – neboli žiadne z cieľov kompromitované. Útočníci sa však vopred pripravili a e-maily boli vysoko cielené. Úspešné pokusy o zneužitie priniesli rôzne backdoory používané skupinou RomCom.

Využitím zero-day zraniteľnosti v programe WinRAR skupina RomCom ukázala, že je ochotná investovať značné úsilie a zdroje do svojich kybernetických operácií. Odhalená kampaň bola zameraná na sektory, ktoré zodpovedajú typickým záujmom ruských skupín, čo naznačuje aj geopolitickú motiváciu tejto operácie.

No a na úplný záver aj pozitívna správa, ktorá ukazuje, že aj expertíza, ktorá sa zrodila na Slovensku, môže pomáhať aj v medzinárodnom rozsahu. ESET sa totiž zapojil do novej iniciatívy Europolu, ktorej cieľom je posilniť medzinárodný boj proti kybernetickej kriminalite. Pilotná fáza programu Cyber Intelligence Extension Program umožní spoluprácu verejných a súkromných organizácií v reálnom čase a efektívne zdieľanie informácií o kybernetických hrozbách. V ESETe pritom máme rozsiahle skúsenosti so spoluprácou s globálnymi bezpečnostnými agentúrami.

Aj vďaka tejto najnovšej iniciatíve môžeme urobiť Európu bezpečnejším miestom. A bezpečným miestom by mali byť aj vaše zariadenia. Preto ako vždy vám želám nielen užitočné surfovanie kybernetickým svetom, ale aj bezpečné.