Malvertising — złośliwe reklamy i fałszywe pobrania
Malvertising
Malvertising i SEO poisoning podsuwają zainfekowany instalator zamiast oryginału — to główny wektor infostealerów. Jak rozpoznać fałszywe pobranie i się chronić.
MITRE ATT&CK
Taktyka
Initial Access(TA0001)Technika
Drive-by Compromise(T1189)Kluczowe wnioski
- ◆Malvertising to złośliwa reklama w wyszukiwarce (np. Google Ads) lub zatruty wynik SEO, który podsuwa fałszywą stronę pobrania popularnego programu
- ◆Zamiast oryginału użytkownik pobiera zainfekowany instalator — najczęściej z infostealerem lub RAT-em w środku (główny wektor dostarczania infostealerów)
- ◆Fałszywa reklama często stoi WYŻEJ niż prawdziwa strona producenta — użytkownik odruchowo ufa górnemu wynikowi
- ◆CERT Polska wpisał w 2025 ~250 tys. złośliwych domen na Listę Ostrzeżeń (+166% r/r) — nowa domena co ~2 minuty
Czym jest malvertising?
Malvertising (od malicious advertising) to atak, w którym przestępca wykorzystuje reklamę w wyszukiwarce lub zatruty wynik organiczny, żeby podsunąć ofierze fałszywą stronę pobrania popularnego programu. Zamiast oryginalnego instalatora użytkownik pobiera zainfekowaną wersję — na oko identyczną, ale z dodanym w środku złośliwym ładunkiem, najczęściej infostealerem (kradnie hasła i sesje z przeglądarki) lub RAT-em (zdalny dostęp do komputera).
Bliźniacza technika to SEO poisoning — zatruwanie pozycjonowania. Atakujący budują strony i sieci linków tak, żeby fałszywa witryna wspięła się wysoko w wynikach na frazy typu „pobierz [nazwa programu]”, „[narzędzie] download”, „[program] za darmo”. Mechanizm zaufania jest ten sam co przy reklamie: wynik na górze wygląda na najbardziej wiarygodny, więc użytkownik klika bez zastanowienia.
To dopełnia historię „skąd bierze się infostealer na firmowym komputerze”. Infostealer nie pojawia się znikąd — ktoś go pobrał i uruchomił. Malvertising jest jednym z głównych wektorów dostarczania tego malware'u, obok fałszywej CAPTCHA (ClickFix), crackowanego oprogramowania i złośliwych załączników.
Jak działa atak?
- Zakup reklamy lub zatrucie SEO — atakujący kupuje reklamę w Google Ads (lub innej sieci reklamowej) na frazy związane z pobieraniem znanego programu, albo pozycjonuje spreparowaną stronę na te same zapytania.
- Klon oficjalnej strony — fałszywa witryna kopiuje logo, układ i teksty producenta. Domena jest łudząco podobna (literówka, dodatkowe słowo, inna końcówka), a strona ma ważny certyfikat HTTPS, więc kłódka w pasku niczego nie zdradza.
- Wynik nad oryginałem — reklama albo zatruty wynik wyświetla się wyżej niż prawdziwa strona producenta. Użytkownik, który szukał „pobierz [program]”, klika pierwszy wynik z pełnym zaufaniem.
- Pobranie zainfekowanego instalatora — plik często działa: instaluje prawdziwy program, żeby nie wzbudzić podejrzeń, a w tle uruchamia infostealer lub RAT. Ofiara nie zauważa niczego niepokojącego.
- Kradzież danych — malware eksfiltruje zapisane hasła, ciasteczka sesji (obchodzące MFA), tokeny i klucze, a następnie często sam się usuwa. Firma dowiaduje się tygodnie później — gdy ktoś użyje przejętych kont.
Cały łańcuch — od wpisania frazy w wyszukiwarkę do działającego malware'u — może zamknąć się w kilka minut, bez żadnego maila, załącznika czy exploita.
Kogo dotyczy w Polsce?
Malvertising nie wybiera branży — dotyczy każdego, kto pobiera oprogramowanie z internetu. Skala zjawiska w Polsce rośnie:
- CERT Polska wpisał na Listę Ostrzeżeń przed niebezpiecznymi stronami około 250 tys. domen w 2025 roku — wzrost o 166% rok do roku. To oznacza nową złośliwą domenę mniej więcej co 2 minuty.
- Pracownicy — najczęstszy scenariusz to pobranie „za darmo” popularnej przeglądarki, komunikatora, czytnika PDF czy narzędzia do konwersji plików. Zapisane w przeglądarce hasła firmowe trafiają do loga infostealera.
- Administratorzy IT — grupa podwyższonego ryzyka. Fałszywe wersje narzędzi administracyjnych (klienty SSH/RDP, narzędzia sieciowe, konsole) lądują od razu na koncie z wysokimi uprawnieniami. Jedno pobranie może otworzyć drogę do całej infrastruktury.
- Zarząd i pracownicy działów niezwiązanych z IT — często korzystają z prywatnych nawyków (szukanie programu w Google) na firmowym sprzęcie, bez świadomości, że górny wynik bywa pułapką.
Warto połączyć to z wcześniejszym ogniwem: skoro Polska jest jednym z czołowych celów infostealerów w Europie, a malvertising jest ich głównym kanałem dystrybucji, każde niekontrolowane pobranie oprogramowania w firmie jest realnym punktem wejścia.
Jak się chronić?
- Pobieraj wyłącznie z oficjalnych źródeł — wchodź na stronę producenta wpisując adres ręcznie lub z zaufanej zakładki, nigdy przez klik w reklamę czy pierwszy wynik wyszukiwania.
- Weryfikuj domenę — sprawdź dokładny adres w pasku (literówki, dodatkowe słowa, inna końcówka). Ważny certyfikat HTTPS nie oznacza, że strona jest oryginalna.
- Filtrowanie DNS — blokowanie znanych złośliwych domen (m.in. w oparciu o Listę Ostrzeżeń CERT Polska) zatrzymuje pobranie, zanim się rozpocznie.
- EDR na końcówkach — rozwiązanie klasy EDR/XDR wykrywa uruchomienie infostealera lub RAT-a nawet po pobraniu zainfekowanego pliku.
- Kontrola aplikacji (allowlisting) — pozwól uruchamiać tylko zatwierdzone aplikacje z zaufanych źródeł; nieznany instalator się nie odpali.
- Blokery reklam w firmie — ograniczenie reklam w przeglądarce służbowej zmniejsza powierzchnię ataku malvertisingu.
- Zarządzane przeglądarki i menedżer haseł firmowy — polityka blokująca zapisywanie haseł w przeglądarce ogranicza to, co infostealer może wykraść.
- Szkolenia — jeden komunikat, który warto powtarzać: „nie ufaj temu, że wynik jest pierwszy — sprawdź domenę i pobieraj tylko ze strony producenta”.
Jak SecIQ pomaga?
- SecIQ SOC monitoruje końcówki 24/7 i wykrywa uruchomienie infostealera lub RAT-a po pobraniu zainfekowanego instalatora — zanim dane zdążą wyciec.
- Microsoft Defender for Endpoint z detekcją podejrzanych procesów, złośliwych loaderów i komunikacji z serwerami C2.
- Filtrowanie DNS i kontrola aplikacji — blokada złośliwych domen oraz allowlisting, który nie pozwala uruchomić nieznanego oprogramowania.
- Monitoring wycieków credentiali — alert, gdy dane logowania Twojej firmy pojawią się w logach infostealerów pochodzących z fałszywych pobrań.
- Reakcja na incydent — playbook: izolacja stacji, unieważnienie sesji i rotacja haseł, ustalenie, co malware zdążył wykraść.
Jedno „pobierz za darmo” z górnego wyniku wyszukiwarki wystarczy, żeby infostealer trafił na firmowy komputer. Sprawdź swoją odporność z nami.
Źródła
- CERT Polska — Lista Ostrzeżeń przed niebezpiecznymi stronami — skala i mechanizm blokowania złośliwych domen w Polsce
- Microsoft Threat Intelligence — malvertising i dystrybucja malware'u — analizy kampanii reklamowych dostarczających infostealery
- Google Threat Intelligence Group (Mandiant) — SEO poisoning i malvertising — łańcuch ataku od reklamy do infostealera
Najczęściej zadawane pytania
Czym różni się malvertising od phishingu?
Jak rozpoznać fałszywą stronę pobrania programu?
Czy malvertising zagraża tylko zwykłym pracownikom?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.
Powiązane ataki
Chroń swoją organizację
SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.
Bezpłatna konsultacja · 15 min · bez zobowiązań