Wiadomości, informacje o zagrożeniach

Otwórz niewłaściwy plik „PDF”, a atakujący uzyskają zdalny dostęp do Twojego komputera.

autor: Pieter Arntz | 5 lutego 2026 r.
PDF i RAT

Cyberprzestępcy stojący za kampanią o nazwie DEAD#VAX posuwają się o krok dalej w phishingu, dostarczając złośliwe oprogramowanie w wirtualnych dyskach twardych, które udają zwykłe dokumenty PDF. Otwórz niewłaściwą „fakturę” lub „zamówienie zakupu”, a nie zobaczysz żadnego dokumentu. Zamiast tego Windows wirtualny dysk, który po cichu instaluje AsyncRAT, trojana typu backdoor, który pozwala atakującym na zdalne monitorowanie i kontrolowanie komputera.

Jest to narzędzie zdalnego dostępu, co oznacza, że atakujący uzyskują zdalną kontrolę nad klawiaturą, podczas gdy tradycyjne zabezpieczenia oparte na plikach nie wykrywają prawie żadnych podejrzanych działań na dysku.

Z ogólnego punktu widzenia łańcuch infekcji jest długi, ale każdy jego etap wygląda na tyle legalnie, że może przejść niezauważony podczas rutynowej kontroli.

Ofiary otrzymują wiadomości e-mail typu phishing, które wyglądają jak rutynowe wiadomości biznesowe, często odnoszące się do zamówień lub faktur, a czasami podszywające się pod prawdziwe firmy. Wiadomość e-mail nie zawiera bezpośrednio załączonego dokumentu. Zamiast tego zawiera link do pliku przechowywanego w IPFS (InterPlanetary File System), zdecentralizowanej sieci pamięci masowej, która jest coraz częściej wykorzystywana w kampaniach phishingowych, ponieważ zawartość jest trudniejsza do usunięcia i można uzyskać do niej dostęp za pośrednictwem zwykłych bram internetowych.

Plik, do którego prowadzi link, ma rozszerzenie PDF i ikonę PDF, ale w rzeczywistości jest to plik wirtualnego dysku twardego (VHD). Gdy użytkownik kliknie go dwukrotnie, Windows go jako nowy dysk (na przykład dysk E:) zamiast otworzyć przeglądarkę dokumentów. Montowanie plików VHD jest całkowicie legalnym Windows , co sprawia, że ten krok nie budzi podejrzeń.

W zamontowanym dysku znajduje się plik, który wygląda jak oczekiwany dokument, ale w rzeczywistości jest to plikWindows (WSF). Gdy użytkownik go otworzy, Windows zamiast wyświetlić plik PDF, Windows kod zawarty w pliku.

Po przeprowadzeniu kilku kontroli mających na celu uniknięcie analizy i wykrycia, skrypt wprowadza ładunek — kod powłoki AsyncRAT — do zaufanych procesów podpisanych przez firmę Microsoft, takich jak RuntimeBroker.exe, OneDrive.exe, taskhostw.exelub sihost.exe. Złośliwe oprogramowanie nigdy nie zapisuje rzeczywistego pliku wykonywalnego na dysku. Działa wyłącznie w pamięci wewnątrz tych legalnych procesów, co znacznie utrudnia jego wykrycie, a w późniejszym etapie również analizę kryminalistyczną. Pozwala to również uniknąć nagłych skoków aktywności lub zużycia pamięci, które mogłyby zwrócić uwagę.

W przypadku użytkownika indywidualnego, narażenie się na tę wiadomość phishingową może skutkować:

  • Theft zapisanych i wpisanych haseł, w tym do poczty elektronicznej, bankowości i mediów społecznościowych.
  • Ujawnienie poufnych dokumentów, zdjęć lub innych wrażliwych plików pobranych bezpośrednio z systemu.
  • Monitorowanie za pomocą okresowych zrzutów ekranu lub, jeśli skonfigurowano, przechwytywania obrazu z kamery internetowej.
  • Wykorzystanie urządzenia jako punktu zaczepienia do ataku na inne urządzenia w tej samej sieci domowej lub biurowej.

Jak zachować bezpieczeństwo

Ponieważ wykrywanie może być trudne, użytkownicy powinni koniecznie stosować pewne środki kontroli:

  • Nie otwieraj załączników do wiadomości e-mail, dopóki nie sprawdzisz u zaufanego źródła, czy są one legalne.
  • Upewnij się, że widzisz rzeczywisty rozszerzenia plików. Niestety, Windows użytkownikom na ich ukrycie. Tak więc, gdy w rzeczywistości plik nazywałby się invoice.pdf.vhd użytkownik widziałby tylko invoice.pdf. Aby dowiedzieć się, jak to zrobić, zobacz poniżej.
  • Korzystaj z aktualnego rozwiązania antywirusowego działającego w czasie rzeczywistym, które wykrywa złośliwe oprogramowanie ukryte w pamięci.

Wyświetlanie rozszerzeń plików w systemach Windows i 11

Aby wyświetlić rozszerzenia plików w Windows i 11:

  • Otwórz Eksploratora (Windows + E)
  • W systemie Windows wybierzopcję Widoki zaznacz poleRozszerzenia nazw plików.
  • W systemie Windows opcja ta znajduje się w menuWidok > Pokaż > Rozszerzenia nazw plików.

Alternatywnie, wyszukaj opcje Eksploratora plików, aby odznaczyć op cję Ukryj rozszerzenia znanych typów plików.

W przypadku starszych wersji systemu Windows zapoznaj się z tym artykułem.

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

AI
Ręka sięga w dół, aby chwycić jedną gwiazdkę z zapisanego hasła.

Hasła generowane przez sztuczną inteligencję stanowią zagrożenie dla bezpieczeństwa.

Luty 19, 2026

Hasła generowane przez sztuczną inteligencję są „bardzo przewidywalne” i nie są prawdziwie losowe, co sprawia, że cyberprzestępcy mogą je łatwiej złamać.

Aktualności
Logo Tenga

Producent artykułów intymnych Tenga ujawnił dane klientów

Luty 19, 2026

Atak phishingowy na pracownika firmy Tenga mógł spowodować ujawnienie danych klientów z USA. Klienci powinni uważać na próby phishingu związane z sekstorsją.

Naruszenia danych
Logo Betterment

Wyciek danych Betterment może być poważniejszy, niż sądziliśmy

Luty 18, 2026

Obecnie wydaje się, że naruszenie to ma znacznie poważniejszy charakter. Wyciekające dane zawierają bogate informacje osobiste i finansowe, które mogą zostać wykorzystane przez phisherów.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa