Nově objevený botnet PowMix útočí na české pracovníky pomocí randomizovaného C2 provozu | IT SECURITY NETWORK NEWS

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Nově objevený botnet PowMix útočí na české pracovníky pomocí randomizovaného C2 provozu

Bezpečnostní výzkumníci odhalili novou sofistikovanou botnetovou kampaň nazvanou PowMix, která se zaměřuje primárně na zaměstnance v České republice. Tato hrozba kombinuje pokročilé techniky randomizace komunikace s řídicími servery (C2) a skryté těžení kryptoměn na napadených zařízeních.

Jak PowMix funguje

Botnet se šíří převážně prostřednictvím phishingových e-mailů maskovaných jako pracovní dokumenty, faktury nebo interní firemní sdělení. Po otevření přílohy se v systému obětí spustí PowerShellový skript, který stáhne hlavní payload a zajistí persistenci pomocí naplánovaných úloh.

Jedinečným rysem PowMixu je způsob, jakým komunikuje se svými C2 servery. Každý odchozí požadavek obsahuje náhodně vygenerované hlavičky, proměnlivou délku paketů a rotující doménová jména, což výrazně komplikuje detekci pomocí tradičních signaturních nástrojů a síťových firewallů.

Analýza odhalila, že operátoři botnetu využívají napadené počítače ke dvěma hlavním účelům:

Těžba kryptoměn – především Monero, přičemž škodlivý kód dokáže detekovat vytížení systému a přizpůsobit intenzitu těžby, aby se vyhnul odhalení.
Sběr přihlašovacích údajů – včetně dat z prohlížečů, VPN klientů a firemních nástrojů pro vzdálený přístup.

„PowMix představuje novou generaci hrozeb, které kombinují nízkoprofilové vytěžování zdrojů s vysoce adaptabilní komunikační vrstvou,“ uvedl jeden z výzkumníků podílejících se na analýze. „Právě kombinace těchto technik činí botnet mimořádně obtížně detekovatelným v prostředí korporátních sítí.“

Zaměření na české firmy

Výzkumníci zjistili, že většina dosud zaznamenaných infekcí pochází z českých organizací, zejména ze sektoru výroby, logistiky a státní správy. Phishingové zprávy jsou psány v plynulé češtině a často obsahují odkazy na skutečné osoby nebo události v dané firmě, což svědčí o pečlivém průzkumu před samotným útokem.

„Útočníci si zjevně dali záležet na lokalizaci a sociálním inženýrství. Úroveň jazykové kvality a personalizace je nadprůměrná,“ poznamenal bezpečnostní analytik.

Výzkumný tým dále varoval, že PowMix se aktivně vyvíjí a v posledních týdnech byly pozorovány nové varianty s vylepšenými obfuskačními technikami a rozšířenou podporou cílových platforem včetně linuxových serverů.

Zdroj: thehackernews.com

30 000 účtů na Facebooku napadeno prostřednictvím phishingové kampaně využívající Google AppSheet

security

30 000 účtů na Facebooku napadeno prostřednictvím phishingové kampaně využívající Google AppSheet

Bezpečnostní výzkumníci odhalili rozsáhlou phishingovou kampaň, při které útočníci zneužili platformu Google AppSheet k tomu, aby kompromitovali přibližně 30 000 uživatelských účtů na sociální síti

ČÍST DÁLE »

Radek Vyškovský 12 května, 2026

Phishingová kampaň zasáhla více než 80 organizací pomocí nástrojů SimpleHelp a ScreenConnect RMM

security

Phishingová kampaň zasáhla více než 80 organizací pomocí nástrojů SimpleHelp a ScreenConnect RMM

Bezpečnostní výzkumníci odhalili sofistikovanou phishingovou kampaň, která se zaměřila na více než 80 organizací po celém světě. Útočníci přitom zneužili legitimní nástroje pro vzdálenou správu,

ČÍST DÁLE »

Radek Vyškovský 11 května, 2026

Rok útoků s podporou umělé inteligence

security

2026: Rok útoků s podporou umělé inteligence

Rok 2026 přinesl zásadní zlom v oblasti kybernetické bezpečnosti. Útoky podporované umělou inteligencí se staly novou normou a obránci po celém světě se potýkají s

ČÍST DÁLE »

Radek Vyškovský 8 května, 2026