Kdy tato malwarová kampaň začala?

Malwarová kampaň je aktivní od června 2025. Od svého zahájení již kompromitovala více než 90 hostitelů.

Jaký typ souboru je použit k doručení malwaru?

Malware je doručován prostřednictvím MSI instalačních souborů, což je standardní formát balíčku pro Windows používaný mnoha legitimními softwarovými dodavateli.

Co malware dělá po infikování systému?

Malware nasadí třímodulový kit, který provádí systémovou rekognoskaci, aktivuje keylogger k zachycení přihlašovacích údajů a kódů 2FA a krade hesla uložená v prohlížeči, cookies relací a data automatického vyplňování.

Proč je natvrdo zakódování SSH přihlašovacích údajů a GitLab tokenů uvnitř instalátoru považováno za bezpečnostní riziko?

Natvrdo zakódované přihlašovací údaje vložené do instalačních souborů jsou čitelné pro kohokoliv, kdo zkontroluje binární soubor, což může obráncům a vyšetřovatelům odhalit servery velení a řízení útočníků a kódové repozitáře.

Stačí používat hardwarovou peněženku jako ochranu před tímto typem útoku?

Podle článku samotné spoléhání na hardwarovou peněženku nestačí jako ochrana před touto kampaní, protože malware cílí na přihlašovací údaje, cookies relací a stisky kláves, které mohou obejít autentizaci bez nutnosti přímého přístupu k peněžence.

Malware v MSI instalátoru cílí na krypto obchodníky od června 2025

Sofistikovaná malwarová kampaň zaměřená na obchodníky s kryptoměnami je tiše aktivní od června 2025 a využívá zdánlivě jednoduchý, ale účinný trik: natvrdo zakódované SSH přihlašovací údaje a GitLab tokeny přímo uvnitř MSI instalačních souborů. Tato operace již kompromitovala více než 90 hostitelů a je specificky navržena k převzetí krypto obchodních účtů kombinací systémové rekognoskace, keyloggingu a krádeže dat z prohlížeče v jediném koordinovaném útočném řetězci. Pro každého, kdo drží nebo aktivně obchoduje s digitálními aktivy, odhaluje mechanika této kampaně, proč samotné spoléhání na hardwarovou peněženku nestačí jako ochrana.

Jak funguje kampaň s MSI instalátorem: Rekognoskace, keylogging a krádež z prohlížeče

Útok začíná ve chvíli, kdy cíl spustí zdánlivě legitimní MSI instalátor — standardní formát balíčku pro Windows používaný nespočtem softwarových dodavatelů. Po spuštění instalátor nasadí třímodulový malwarový kit, který funguje postupně.

První modul provádí systémovou rekognoskaci a mapuje konfiguraci infikovaného hostitele, síťové prostředí a nainstalovaný software. Tato fáze poskytuje útočníkovi jasný obraz o tom, s čím pracuje, ještě před tím, než přistoupí k hlubšímu průniku. Druhý modul aktivuje keylogger, který zachytává vše, co oběť napíše — včetně přihlašovacích údajů k burzám, kódů dvoufaktorového ověřování a hesel k peněženkám. Třetí modul se zaměřuje na data uložená v prohlížeči a extrahuje uložená hesla, cookies relací a záznamy automatického vyplňování, které lze použít k obejití autentizace na finančních platformách, aniž by bylo kdy přímo potřeba heslo k účtu.

Tato kombinace je záměrná. Keylogging zachytává přihlašovací údaje za pohybu; krádež z prohlížeče zachytává přihlašovací údaje v klidu. Dohromady ponechávají jen velmi málo mezer.

Proč jsou natvrdo zakódované přihlašovací údaje systémovým rizikem

Na tomto tažení je z pohledu bezpečnostního výzkumu obzvlášť pozoruhodné nejen to, co dělá obětem, ale co odhaluje o samotných útočnících. Vložení natvrdo zakódovaných SSH přihlašovacích údajů a GitLab tokenů do instalátoru znamená, že malware nese přímý, statický odkaz zpět na vlastní backendovou infrastrukturu.

Jde o selhání operační bezpečnosti na straně útočníka, a tato chyba není pro tuto skupinu výjimečná. Když vývojáři — ať už tvoří legitimní software nebo škodlivé nástroje — zakódují autentizační tokeny natvrdo do zkompilovaných nebo zabalených souborů, stávají se tyto přihlašovací údaje čitelnými pro kohokoliv, kdo zkontroluje binární soubor. Pro obránce mohou natvrdo zakódované přihlašovací údaje v malwaru odhalit servery velení a řízení, kódové repozitáře a dokonce i interní vývojový postup hrozebného aktéra. Pro oběti však stejná chyba, která může pomoci vyšetřovatelům vypátrat útočníky, nenabízí žádnou ochranu poté, co ke kompromitaci již došlo.

Tento vzorec odráží širší trendy v malwaru zaměřeném na cloud. Jak je popsáno v reportáži o malwaru PCPJack zneužívajícím cloudové přihlašovací údaje, rámce pro krádež přihlašovacích údajů stále více považují nesprávně zabezpečené tokeny za snadno dostupnou kořist — ať už tyto tokeny patří obětem, nebo v tomto případě samotným útočníkům.

Kdo je terčem útoku a jak jsou krypto obchodníci vybíráni

Zaměření kampaně na obchodníky s kryptoměnami není náhodné. Krypto účty představují jedinečně atraktivní cílový profil: často drží značnou likvidní hodnotu, transakce jsou po odeslání do blockchainu nevratné a mnoho obchodníků používá rozhraní v prohlížeči ke správě pozic na více burzách současně.

Tento poslední bod je klíčový. Obchodování přes prohlížeč znamená, že relace, cookies a uložené přihlašovací údaje v prohlížeči jsou přímou cestou k přístupu k účtu. Útočník, který zachytí platný cookie relace z prohlížeče, může často provést autentizaci na burze bez spuštění výzvy k zadání hesla nebo dvoufaktorového ověřování, protože samotná relace je již ověřena. Komponenta keyloggeru pak pokrývá každý scénář, kdy se obchodník odhlásí a znovu přihlásí, přičemž v reálném čase zachytí čerstvé přihlašovací údaje.

Při více než 90 potvrzených kompromitovaných hostitelích naznačuje rozsah kampaně cílené, ale trvalé tažení spíše než přístup náhodného plošného rozesílání. Největšímu riziku jsou vystaveni obchodníci, kteří od června 2025 stahovali software z neoficiálních nebo neověřených zdrojů.

Jak VPN, správci přihlašovacích údajů a hygiena prohlížeče snižují vaši útočnou plochu

Žádný jednotlivý nástroj neeleminuje riziko, které tato kampaň představuje, ale několik postupů smysluplně snižuje míru vystavení.

VPN nezabrání spuštění malwaru, jakmile se již nachází na počítači, ale snižuje riziko zachycení provozu a může omezit viditelnost na síťové úrovni, kterou útočník získá během fáze rekognoskace. Důležitější je, že konzistentní používání VPN na všech zařízeních pomáhá etablovat síťovou hygienu jako zvyk, nikoli jako dodatečný nápad.

Správci přihlašovacích údajů řeší jeden z hlavních útočných vektorů: hesla uložená v prohlížeči. Když jsou přihlašovací údaje uloženy ve vyhrazeném šifrovaném správci namísto nativního trezoru hesel prohlížeče, krádež dat z prohlížeče přináší mnohem méně použitelných informací. Většina správců přihlašovacích údajů také podporuje generování jedinečných, složitých hesel pro každý účet, což omezuje dopad v případě, že je jedna sada přihlašovacích údajů zachycena.

Důležitá je i hygiena prohlížeče. Obchodníci by měli zvážit používání vyhrazeného profilu prohlížeče, nebo zcela oddělené prohlížeče, výhradně pro přístup k burzám. Tento profil by neměl mít žádná uložená hesla, žádná rozšíření nad rámec toho, co je nezbytně nutné, a po každé relaci by měl být vymazán od cookies. Cookie relace nelze odcizit z relace, která již neexistuje.

Konečně kázeň při instalaci softwaru je první linií obrany. MSI soubory získané mimo oficiální stránky dodavatele nebo obchody s aplikacemi nesou reálné riziko. Ověřování hashů souborů, kontrola podpisů vydavatele a zacházení s jakýmkoli instalátorem, který vyžaduje deaktivaci bezpečnostního softwaru, jako s okamžitým varovným signálem může zabránit počátečnímu spuštění, které umožní vše ostatní.

Co to pro vás znamená

Pokud aktivně obchodujete s kryptoměnami nebo držíte digitální aktiva přístupná přes rozhraní v prohlížeči, je tato kampaň přímým varováním. Hardwarové peněženky chrání prostředky na blockchainu, ale nechrání účty na burzách — a právě tam je tento malware navržen tak, aby způsobil škody.

Začněte auditem toho, kde vaše přihlašovací údaje aktuálně jsou. Pokud jsou hesla k burzám uložena v prohlížeči, přesuňte je do vyhrazeného správce přihlašovacích údajů a vygenerujte nová, jedinečná hesla pro každou platformu. Zkontrolujte rozšíření prohlížeče a odstraňte vše, co aktivně nepoužíváte. Zkontrolujte historii stahování pro jakékoli MSI instalátory získané od června 2025 ze zdrojů, které nemůžete ověřit.

Eskalující sofistikovanost operací krádeže přihlašovacích údajů — od kampaní s natvrdo zakódovanými tokeny popsaných zde až po vícenásobné zneužití CVE zdokumentované v rámcích zaměřených na cloud — činí z proaktivní hygieny přihlašovacích údajů jednu z nejúčinnějších dostupných obran pro jednotlivé uživatele. Věnovat hodinu auditu svého nastavení dnes je podstatně méně bolestivé než zotavovat se z převzetí účtu zítra.