🔐 Cyber Security Daily News | 03.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Chrome planuje przejście na certyfikaty odporne na komputery kwantowe
Google zapowiedziało inicjatywę przekształcenia systemu certyfikatów HTTPS tak, by był odporny na przyszłe ataki komputerów kwantowych. Zamiast dodawać większe certyfikaty post-kwantowe X.509 do istniejących mechanizmów, Chrome współpracuje z branżą nad tzw. Merkle Tree Certificates (MTC) — rozwiązaniem standaryzowanym w ramach nowej grupy roboczej IETF o nazwie PLANTS. Kluczowy problem jest prozaiczny: kryptografia odporna na komputery kwantowe generuje znacznie większe dane, co spowalnia połączenia TLS. MTC rozwiązuje to poprzez zastąpienie tradycyjnych łańcuchów podpisów kryptograficznych kompaktowymi dowodami opartymi na strukturze drzewa Merkle'a — jeden podpis urzędu certyfikacji może reprezentować miliony certyfikatów jednocześnie. To ważny krok w kierunku zabezpieczenia internetu przed zagrożeniami, które jeszcze nie istnieją, ale które pojawieniu się komputerów kwantowych staną się bardzo realne.
Źródło: Infosecurity Magazine [EN]
Samsung dogadał się z Teksasem w sprawie technologii śledzenia widzów
Prokurator generalny Teksasu Ken Paxton zawarł porozumienie z Samsung Electronics America w sprawie technologii ACR (Automated Content Recognition), która co 500 milisekund robiła zrzuty ekranu tego, co użytkownicy oglądają na swoich smart TV — bez ich wiedzy i zgody. Na mocy ugody Samsung musi natychmiast zaprzestać zbierania danych ACR bez wyraźnej zgody teksańskich konsumentów i wdrożyć czytelne ekrany informacyjne. Prokurator równocześnie prowadzi nadal sprawy przeciwko Sony, LG, Hisense i TCL, które nie zdecydowały się na ugodę. Artykuł Malwarebytes zawiera praktyczny poradnik, jak wyłączyć funkcje śledzenia na telewizorach różnych producentów — nie tylko Samsunga, ale też LG, Roku i innych. Precedens teksaski może mieć globalne skutki, bo producenci często wdrażają zmiany prawne dla całego rynku, nie tylko dla konkretnego stanu.
Źródło: Malwarebytes [EN]
Duński kontrwywiad ostrzega przed zagrożeniami dla wyborów — z nieoczekiwanego kierunku
Duńska służba kontrwywiadu rozszerzyła listę państw stanowiących zagrożenie dla integralności wyborów o podmiot, który do tej pory rzadko pojawiał się w tego rodzaju raportach. Oprócz Rosji i Chin, których aktywność wpływu na procesy demokratyczne jest dobrze udokumentowana, agencja wskazuje teraz również na Stany Zjednoczone jako potencjalne źródło ingerencji. To znaczące przesunięcie w europejskiej ocenie zagrożeń, które odzwierciedla zmieniający się klimat geopolityczny po objęciu prezydentury przez Donalda Trumpa i coraz wyraźniejszych napięciach transatlantyckich. Raport podkreśla, że zagrożenie niekoniecznie musi przyjmować formę tradycyjnych operacji cybernetycznych — może też przejawiać się w narracyjnym wpływie na media społecznościowe i decydentów.
Źródło: InfoSecurity24 [PL]
2. 🚨 INCYDENTY
APT28 eksploatował zero-day w MSHTML przed lutową łatką
Rosyjska grupa APT28 (znana też jako Fancy Bear) aktywnie exploitowała krytyczną podatność zero-day CVE-2026-21513 w silniku MSHTML — komponencie odpowiadającym za renderowanie treści HTML w systemach Windows — zanim Microsoft zdążył wydać łatkę w ramach lutowego Patch Tuesday. Lukę można było wykorzystać bez jakiejkolwiek interakcji użytkownika, co klasyfikuje ją jako szczególnie niebezpieczną. APT28 jest grupą powiązaną z rosyjskim wywiadem wojskowym (GRU) i odpowiada za dziesiątki głośnych operacji szpiegowskich na całym świecie. Odkrycie potwierdza, że rosyjskie APT dysponują zarówno własnym stockpile'm podatności zero-day, jak i sprawnością operacyjną, by je eksploatować, zanim producent oprogramowania dowie się o problemie. Administratorzy systemów Windows powinni upewnić się, że lutowa łatka od Microsoftu jest zainstalowana na wszystkich urządzeniach w środowisku.
Źródła: Security Affairs [EN], The Hacker News [EN]
Północnokoreańska APT37 przełamuje sieci air-gap przez USB i chmurę
Powiązana z Koreą Północną grupa APT37 (znana też jako ScarCruft) przeprowadziła zaawansowaną kampanię szpiegowską nazwaną „Ruby Jumper", odkrytą przez Zscaler ThreatLabz w grudniu 2025 roku. Atak zaczyna się od złośliwego pliku LNK (skrótu Windows), który uruchamia PowerShell i instaluje nowe narzędzia malware: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK i FOOTWINE. Kluczowym elementem jest RESTLEAF — implant komunikujący się z operatorami przez legalną chmurę Zoho WorkDrive, co jest pierwszym udokumentowanym przypadkiem nadużycia tej usługi przez APT37. By dotrzeć do systemów całkowicie odizolowanych od internetu (air-gap), hakerzy używają THUMBSBD — narzędzia, które kopiuje ukryte polecenia do folderów $RECYCLE.BIN na pendrive'ach, skąd są pobierane przez zainfekowany komputer offline. FOOTWINE zapewnia pełen nadzór: keystroke logging, nagrywanie ekranu i dźwięku. To kolejny przykład pokazujący, że izolacja fizyczna sieci nie jest już wystarczającą ochroną.
Źródła: Security Affairs [EN], SecurityWeek [EN]
30 złośliwych rozszerzeń Chrome podszywało się pod narzędzia AI — wspólny kod i anonimowy twórca
Badacze z LayerX odkryli koordynowaną kampanię 30 rozszerzeń do Chrome, które prezentowały się jako asystenci AI do pisania, streszczania maili i czatu. Wszystkie wyglądały wiarygodnie i były aktywnie używane, ale ich architektura pozwalała na ciche wgrywanie aktualizacji bez żadnej zmiany w Chrome Web Store i bez wiedzy użytkownika. Mimo że każde rozszerzenie powstało z użyciem unikalnego adresu e-mail, wszystkie 30 komunikuje się z tą samą domeną — co jednoznacznie wskazuje na wspólnego, ukrytego twórcę. Na stronie „dostawcy" nie ma żadnych danych kontaktowych ani informacji o firmie. To klasyczny przykład kampanii supply chain w ekosystemie przeglądarki: rozszerzenie pozornie bezpieczne, korzystające z popularności AI, może w każdej chwili otrzymać aktualizację zamieniającą je w infostealer lub narzędzie do kradzieży sesji.
Źródło: Sekurak [PL]
3. 🤔 CIEKAWOSTKI
Fałszywa strona Google Security kradnie dane logowania przez progresywną aplikację webową
Nowa technika phishingu odkryta przez badaczy bezpieczeństwa wykorzystuje tzw. Progressive Web Apps (PWA) do stworzenia przekonującego fałszywego interfejsu strony Google Security. PWA to technologia webowa, która pozwala stronom internetowym zachowywać się jak natywne aplikacje — w tym ukrywać pasek adresu przeglądarki, co eliminuje jeden z kluczowych sposobów rozpoznawania phishingu. Ofiara widzi przekonujący, pełnoekranowy interfejs bez żadnych wskazówek, że jest na fałszywej stronie. Metoda pozwala też na przechwytywanie kodów MFA w czasie rzeczywistym. To istotna eskalacja techniczna w świecie phishingu — tradycyjne metody weryfikacji autentyczności strony stają się coraz mniej skuteczne.
Źródło: BleepingComputer [EN]
Fałszywa strona FileZilla dystrybuuje złośliwe oprogramowanie
Malwarebytes odkrył fałszywą stronę internetową podszywającą się pod oficjalną stronę popularnego klienta FTP FileZilla. Strona wygląda przekonująco i oferuje do pobrania instalator, który zawiera złośliwe oprogramowanie. FileZilla jest jednym z najczęściej używanych narzędzi wśród administratorów i deweloperów do transferu plików, co czyni go szczególnie atrakcyjnym celem dla atakujących — ofiarami są osoby z reguły mające szerokie uprawnienia w systemach. Tego rodzaju ataki przez podszywanie się pod legalne oprogramowanie to wciąż jeden z najskuteczniejszych wektorów infekcji, szczególnie kiedy użytkownik celowo szuka oprogramowania i spodziewa się pobrania pliku wykonywalnego. Należy zawsze pobierać oprogramowanie z oficjalnych repozytoriów i weryfikować sumy kontrolne plików.
Źródło: Malwarebytes [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Kampania phishingowa podszywa się pod Policję i Europol — alert CERT Polska
CERT Polska ostrzega przed aktywną kampanią masowej rozsyłki maili, w których przestępcy podszywają się pod Policję, Europol lub Interpol i grożą konsekwencjami prawnymi za rzekome przestępstwa seksualne w sieci. Do wiadomości dołączony jest plik PDF lub JPG imitujący oficjalne pismo urzędowe — z logotypami instytucji, poważnie brzmiącymi zarzutami i wymogiem pilnego kontaktu w ciągu 24-48 godzin pod rygorem „natychmiastowego aresztowania". Przestępcy używają nieoficjalnych domen, często Gmail czy Zoho, i nierzadko posługują się nazwiskami prawdziwych funkcjonariuszy, by zwiększyć wiarygodność. Mechanizm opiera się na wywołaniu strachu i wstydu — ofiara ma nie myśleć racjonalnie, lecz działać impulsywnie. Zasada jest prosta: Policja ani Europol nigdy nie wysyłają wezwań drogą mailową i nigdy nie żądają natychmiastowej płatności. Takie maile należy zignorować i zgłosić na incydent.cert.pl.
Źródło: CERT Polska [PL]
Kampania phishingowa przez Zoom i Google Meet wykrada dostęp do narzędzi monitoringu
Badacze z Hackread odkryli kampanię phishingową, której celem są użytkownicy firmowych narzędzi monitoringu pracowników, a punktem wejścia są fałszywe linki do spotkań Zoom i Google Meet. Ofiary kierowane są na przekonujące strony logowania, skąd ich dane uwierzytelniające trafiają do atakujących. Szczególnie niepokojące jest to, że atakujący celowo wybierają narzędzia do monitoringu miejsc pracy (takie jak Teramind) — przejęcie konta administratora takiego systemu daje dostęp do nagrań ekranów, logów aktywności i innych wrażliwych danych pracowników. To kolejny przykład atakowania nie użytkownika końcowego, ale narzędzia, które daje wgląd w działania całej organizacji.
Źródło: Hackread [EN]
Ukraiński haker przyznał się do prowadzenia platformy AI do fałszowania dokumentów tożsamości
Ukraiński obywatel przyznał się do winy w USA w związku z prowadzeniem serwisu OnlyFake — platformy, która za pomocą generatywnej AI tworzyła realistyczne fałszywe dokumenty tożsamości z prawie 30 krajów. Serwis był masowo wykorzystywany do omijania procedur KYC (Know Your Customer) na giełdach kryptowalut i serwisach finansowych. Ceny zaczynały się od kilkunastu dolarów za dokument, a skala działalności była globalna — platforma obsłużyła dziesiątki tysięcy zamówień. Sprawa doskonale ilustruje, jak generatywna AI staje się narzędziem przestępczym nie tylko w sferze deepfake'ów video, ale też w bardzo przyziemnym obszarze dokumentów i tożsamości cyfrowej.
Źródło: Security Affairs [EN]
5. ⚠️ DEZINFORMACJA, CYBER WOJNA
Konflikt na Bliskim Wschodzie wkracza w fazę cyberwojny — rekordowa skala operacji
Po izraelsko-amerykańskich uderzeniach na Iran z 28 lutego 2026 roku konflikt wyraźnie przeszedł w fazę hybrydową, łączącą operacje militarne z działaniami w cyberprzestrzeni. Według analityków CloudSek, towarzysząca uderzeniom cyberoperacja doprowadziła do ograniczenia łączności internetowej w Iranie do zaledwie ok. 4% normalnego poziomu — co byłoby jedną z największych tego rodzaju operacji w historii, choć przyczyny tego stanu pozostają nieujawnione. Zaatakowane zostały irańskie media rządowe, systemy energetyczne i infrastruktura lotnictwa. John Hultquist z Google GTIG na konferencji RUSI w Londynie wprost stwierdził, że Iran „na pewno" odpowie cyberatakami wymierzonymi w kraje Zatoki Perskiej, w których stacjonują bazy USA. UK wydało osobne ostrzeżenie dla organizacji i firm przed wzmożoną aktywnością irańskich grup hakerskich. Organizacje z sektorów krytycznych powinny podnieść poziom alertu.
Źródła: Infosecurity Magazine [EN], Infosecurity Magazine [EN], CyberDefence24 [PL], The Register [EN]
Deepfaki sportowców olimpijskich w roli narzędzia politycznej manipulacji
Podczas Zimowych Igrzysk Olimpijskich w Mediolanie deepfaki stały się standardowym elementem politycznego przekazu i internetowej przemocy wobec sportowców. Trolle na 4chan masowo generowały i udostępniały seksualizowane fałszywe wizerunki zawodniczek z USA. Konto TikTok Białego Domu opublikowało deepfake film z hokejowym złotym medalistą Bradym Tkachukiem — ze sfabrykowanym głosem wypowiadającym obraźliwe słowa pod adresem Kanadyjczyków. Sam Tkachuk publicznie zdystansował się od materiału, mówiąc wprost, że to nie jego głos i nie jego usta. Film, mimo etykiety informującej o treściach AI, obejrzały dziesiątki milionów osób. Biały Dom regularnie tworzy i udostępnia materiały AI jako część przekazu politycznego — niekiedy bez ujawniania tego odbiorcom. To sygnał, że normalizacja deepfake'ów na najwyższym szczeblu władzy ma poważne konsekwencje dla wiarygodności informacji publicznej.
Źródło: CyberScoop [EN]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.