Analitycy ESET odkryli kampanię phishingową, w której cyberprzestępcy podszywają się pod fikcyjnego pracownika Uniwersytetu Jagiellońskiego. Przesyłany do podwykonawców mail z prośbą o złożenie oferty powoduje zainstalowanie na ich komputerach trudnego do wykrycia złośliwego oprogramowania.
Ofiary przestępców otrzymywały wiadomość nakłaniającą do złożenia oferty Uniwersytetowi Jagiellońskiemu za pomocą załączonego formularza, który z pozoru przypomina plik PDF, a w rzeczywistości jest paczką zawierającą złośliwe oprogramowanie. To oprogramowanie – dokładnie infostealer Formbook – kradnie m.in. dane ze schowków, naciśnięcia klawiszy, zrzuty z ekranu i dane z pamięci przeglądarki. Cały zestaw narzędzi cyberprzestępców to tzw. malware-as-a-service czyli złośliwe oprogramowanie, które sprzedawane jest na podziemnych forach internetowych.
Jak wskazują analitycy, ten rodzaj złośliwego oprogramowania bardzo często wykorzystywany jest do ataków na polskich użytkowników. W drugiej połowie 2025 roku blisko 1/3 prób ataku za jego pomocą była zarejestrowana w Polsce.
„To, co przynosi cyberprzestępcom bardzo duże zyski, to przede wszystkim spryt. W tym przypadku posłużyli się autorytetem prestiżowej instytucji. Wiadomość nie musi być nawet idealnie sformułowana. Wystarczy, że zawiera podpis przedstawiciela ważnej instytucji, jej logotyp – na pierwszy rzut oka przypomina prawdziwą. Z pewnością wiele osób kliknie w załącznik, zanim zastanowi się, czy wiadomość faktycznie pochodzi od pracownika Uniwersytetu Jagiellońskiego” – mówi Kamil Sadkowski, analityk cyberzagrożeń z ESET.
Tego typu wiadomości wysyłane bywają często dużym grupom odbiorców, aby zmaksymalizować szanse przestępców na osiągnięcie zysku i pobranie przez ofiary złośliwego oprogramowania. Kluczową metodą ochrony przed takimi atakami jest uważność. Każda wiadomość, którą otrzymujemy, powinna zostać dokładnie zweryfikowana. Zanim klikniemy w link czy załącznik, powinniśmy upewnić się, że wiadomość pochodzi od prawdziwego nadawcy. Zalecanym sposobem weryfikacji jest kontakt z instytucją za pomocą oficjalnego adresu e-mail lub telefonicznie i sprawdzenie czy informacje zawarte w mailu są prawdziwe.
