Malware
Wysoki
ZarządCISOIT

Malvertising — złośliwe reklamy i fałszywe pobrania

Malvertising

Malvertising i SEO poisoning podsuwają zainfekowany instalator zamiast oryginału — to główny wektor infostealerów. Jak rozpoznać fałszywe pobranie i się chronić.

5 min czytaniaPrzykład: Kampanie malvertisingu w Google Ads podszywające się pod popularne narzędzia IT (m.in. klienty zdalnego dostępu i przeglądarki) dostarczały infostealery i loadery — reklama fałszywej strony wyświetlała się nad prawdziwym wynikiem producenta
Udostępnij
🔍 pobierz KeePass — Google🔒google.com/search?q=pobierz+keepasspobierz KeePass🔍Około 1 240 000 wyników (0,38 s)SponsorowaneKeePass — Oficjalne pobieranie (najnowsza wersja)https://keepass-download.pro › pl › downloadPobierz KeePass za darmo — bezpieczny menedżer haseł. Kliknij, abyrozpocząć instalację. Wersja 2.57 dostępna teraz.KeePass Password Safehttps://keepass.info › downloadKeePass to darmowy, otwartoźródłowy menedżer haseł. Oficjalnastrona projektu — najnowsze wydania i kod źródłowy.KeePass-Setup.exe4,2 MB z 4,2 MB — zakończonoGórny wynik to reklama —nie oficjalna stronaDomena nie jest oficjalnakeepass-download.pro ≠ keepass.infoZainfekowany instalator —w środku infostealerkradnący hasłaOficjalna strona byłatuż pod reklamąTO BYŁ MALVERTISING— symulacja ataku —~250 tys.złośliwych domen(CERT Polska 2025)~2 minnowa złośliwadomena co ~2 min< 15 minreakcja SOCSecIQseciq.pl

Kluczowe wnioski

  • Malvertising to złośliwa reklama w wyszukiwarce (np. Google Ads) lub zatruty wynik SEO, który podsuwa fałszywą stronę pobrania popularnego programu
  • Zamiast oryginału użytkownik pobiera zainfekowany instalator — najczęściej z infostealerem lub RAT-em w środku (główny wektor dostarczania infostealerów)
  • Fałszywa reklama często stoi WYŻEJ niż prawdziwa strona producenta — użytkownik odruchowo ufa górnemu wynikowi
  • CERT Polska wpisał w 2025 ~250 tys. złośliwych domen na Listę Ostrzeżeń (+166% r/r) — nowa domena co ~2 minuty

Czym jest malvertising?

Malvertising (od malicious advertising) to atak, w którym przestępca wykorzystuje reklamę w wyszukiwarce lub zatruty wynik organiczny, żeby podsunąć ofierze fałszywą stronę pobrania popularnego programu. Zamiast oryginalnego instalatora użytkownik pobiera zainfekowaną wersję — na oko identyczną, ale z dodanym w środku złośliwym ładunkiem, najczęściej infostealerem (kradnie hasła i sesje z przeglądarki) lub RAT-em (zdalny dostęp do komputera).

Bliźniacza technika to SEO poisoning — zatruwanie pozycjonowania. Atakujący budują strony i sieci linków tak, żeby fałszywa witryna wspięła się wysoko w wynikach na frazy typu „pobierz [nazwa programu]”, „[narzędzie] download”, „[program] za darmo”. Mechanizm zaufania jest ten sam co przy reklamie: wynik na górze wygląda na najbardziej wiarygodny, więc użytkownik klika bez zastanowienia.

To dopełnia historię „skąd bierze się infostealer na firmowym komputerze”. Infostealer nie pojawia się znikąd — ktoś go pobrał i uruchomił. Malvertising jest jednym z głównych wektorów dostarczania tego malware'u, obok fałszywej CAPTCHA (ClickFix), crackowanego oprogramowania i złośliwych załączników.

Jak działa atak?

  1. Zakup reklamy lub zatrucie SEO — atakujący kupuje reklamę w Google Ads (lub innej sieci reklamowej) na frazy związane z pobieraniem znanego programu, albo pozycjonuje spreparowaną stronę na te same zapytania.
  2. Klon oficjalnej strony — fałszywa witryna kopiuje logo, układ i teksty producenta. Domena jest łudząco podobna (literówka, dodatkowe słowo, inna końcówka), a strona ma ważny certyfikat HTTPS, więc kłódka w pasku niczego nie zdradza.
  3. Wynik nad oryginałem — reklama albo zatruty wynik wyświetla się wyżej niż prawdziwa strona producenta. Użytkownik, który szukał „pobierz [program]”, klika pierwszy wynik z pełnym zaufaniem.
  4. Pobranie zainfekowanego instalatora — plik często działa: instaluje prawdziwy program, żeby nie wzbudzić podejrzeń, a w tle uruchamia infostealer lub RAT. Ofiara nie zauważa niczego niepokojącego.
  5. Kradzież danych — malware eksfiltruje zapisane hasła, ciasteczka sesji (obchodzące MFA), tokeny i klucze, a następnie często sam się usuwa. Firma dowiaduje się tygodnie później — gdy ktoś użyje przejętych kont.

Cały łańcuch — od wpisania frazy w wyszukiwarkę do działającego malware'u — może zamknąć się w kilka minut, bez żadnego maila, załącznika czy exploita.

Kogo dotyczy w Polsce?

Malvertising nie wybiera branży — dotyczy każdego, kto pobiera oprogramowanie z internetu. Skala zjawiska w Polsce rośnie:

  • CERT Polska wpisał na Listę Ostrzeżeń przed niebezpiecznymi stronami około 250 tys. domen w 2025 roku — wzrost o 166% rok do roku. To oznacza nową złośliwą domenę mniej więcej co 2 minuty.
  • Pracownicy — najczęstszy scenariusz to pobranie „za darmo” popularnej przeglądarki, komunikatora, czytnika PDF czy narzędzia do konwersji plików. Zapisane w przeglądarce hasła firmowe trafiają do loga infostealera.
  • Administratorzy IT — grupa podwyższonego ryzyka. Fałszywe wersje narzędzi administracyjnych (klienty SSH/RDP, narzędzia sieciowe, konsole) lądują od razu na koncie z wysokimi uprawnieniami. Jedno pobranie może otworzyć drogę do całej infrastruktury.
  • Zarząd i pracownicy działów niezwiązanych z IT — często korzystają z prywatnych nawyków (szukanie programu w Google) na firmowym sprzęcie, bez świadomości, że górny wynik bywa pułapką.

Warto połączyć to z wcześniejszym ogniwem: skoro Polska jest jednym z czołowych celów infostealerów w Europie, a malvertising jest ich głównym kanałem dystrybucji, każde niekontrolowane pobranie oprogramowania w firmie jest realnym punktem wejścia.

Jak się chronić?

  1. Pobieraj wyłącznie z oficjalnych źródeł — wchodź na stronę producenta wpisując adres ręcznie lub z zaufanej zakładki, nigdy przez klik w reklamę czy pierwszy wynik wyszukiwania.
  2. Weryfikuj domenę — sprawdź dokładny adres w pasku (literówki, dodatkowe słowa, inna końcówka). Ważny certyfikat HTTPS nie oznacza, że strona jest oryginalna.
  3. Filtrowanie DNS — blokowanie znanych złośliwych domen (m.in. w oparciu o Listę Ostrzeżeń CERT Polska) zatrzymuje pobranie, zanim się rozpocznie.
  4. EDR na końcówkach — rozwiązanie klasy EDR/XDR wykrywa uruchomienie infostealera lub RAT-a nawet po pobraniu zainfekowanego pliku.
  5. Kontrola aplikacji (allowlisting) — pozwól uruchamiać tylko zatwierdzone aplikacje z zaufanych źródeł; nieznany instalator się nie odpali.
  6. Blokery reklam w firmie — ograniczenie reklam w przeglądarce służbowej zmniejsza powierzchnię ataku malvertisingu.
  7. Zarządzane przeglądarki i menedżer haseł firmowy — polityka blokująca zapisywanie haseł w przeglądarce ogranicza to, co infostealer może wykraść.
  8. Szkolenia — jeden komunikat, który warto powtarzać: „nie ufaj temu, że wynik jest pierwszy — sprawdź domenę i pobieraj tylko ze strony producenta”.

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje końcówki 24/7 i wykrywa uruchomienie infostealera lub RAT-a po pobraniu zainfekowanego instalatora — zanim dane zdążą wyciec.
  • Microsoft Defender for Endpoint z detekcją podejrzanych procesów, złośliwych loaderów i komunikacji z serwerami C2.
  • Filtrowanie DNS i kontrola aplikacji — blokada złośliwych domen oraz allowlisting, który nie pozwala uruchomić nieznanego oprogramowania.
  • Monitoring wycieków credentiali — alert, gdy dane logowania Twojej firmy pojawią się w logach infostealerów pochodzących z fałszywych pobrań.
  • Reakcja na incydent — playbook: izolacja stacji, unieważnienie sesji i rotacja haseł, ustalenie, co malware zdążył wykraść.

Jedno „pobierz za darmo” z górnego wyniku wyszukiwarki wystarczy, żeby infostealer trafił na firmowy komputer. Sprawdź swoją odporność z nami.

Źródła

MalvertisingSEO poisoningFałszywe oprogramowanieInfostealerMalware
FAQ

Najczęściej zadawane pytania

Czym różni się malvertising od phishingu?
Phishing przychodzi do ofiary (mail, SMS) i podszywa się pod nadawcę. Malvertising czeka na ofiarę w wynikach wyszukiwania: to użytkownik sam szuka „pobierz [program]” i klika reklamę lub górny wynik, który wygląda jak oficjalna strona. Efekt jest ten sam — pobranie zainfekowanego pliku — ale wektor jest odwrócony, przez co klasyczne filtry pocztowe go nie zatrzymają.
Jak rozpoznać fałszywą stronę pobrania programu?
Sprawdź dokładną domenę w pasku adresu (literówki, dodatkowe słowa, inna końcówka niż oficjalna), nie ufaj temu, że wynik jest pierwszy lub oznaczony jako „Sponsorowany”. Wejdź na stronę producenta wpisując adres ręcznie lub z zakładki, a nie przez wyszukiwarkę. Jeśli instalator prosi o wyłączenie antywirusa albo wklejenie komendy — to atak.
Czy malvertising zagraża tylko zwykłym pracownikom?
Nie — szczególnie groźny jest dla administratorów IT. Fałszywe wersje narzędzi administracyjnych (klienci SSH, narzędzia sieciowe, konsole zarządzania) trafiają na konta z wysokimi uprawnieniami, więc jedno błędne pobranie może dać atakującemu dostęp do całej infrastruktury, a nie do jednej stacji roboczej.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Bezpłatna konsultacja · 15 min · bez zobowiązań