Fałszywy dokument, prawdziwy dostęp. Jak działa wieloetapowy łańcuch infekcji

2026-04-27

TL;DR

Phishing z załącznikiem nie zniknął. Zmienił formę. Zamiast jednego pliku, który ma od razu wykonać całą pracę za atakującego, coraz częściej pojawia się kilka etapów: dokument, fałszywy PDF, pobranie kolejnego komponentu, uruchomienie legalnie wyglądającej funkcji i dopiero później trwały dostęp.

W tej kampanii przynęta była skierowana do pracowników administracji w Pakistanie. Wiadomość zawierała dwa załączniki: dokument Word oraz PDF z fałszywym błędem Adobe Reader. Obie ścieżki prowadziły do tego samego celu: uruchomienia kolejnego etapu malware i zbudowania zdalnego dostępu do systemu.

O co chodzi w tej kampanii

Według opisu opublikowanego przez Cyber Security News kampania była wymierzona w pracowników Punjab Safe Cities Authority oraz PPIC3. Atakujący podszywał się pod wewnętrznego konsultanta i odwoływał się do projektu Safe Jail Project. To istotny detal, bo wiarygodny kontekst nadal pozostaje jednym z najmocniejszych elementów skutecznego spear phishingu.

W wiadomości znajdowały się dwa załączniki. Pierwszy to dokument Word o nazwie CAD Reprot.doc, drugi to PDF ANPR Reprot.pdf, który wyświetlał fałszywy komunikat o błędzie Adobe Reader i zachęcał do pobrania rzekomej aktualizacji. Obie ścieżki korzystały z tej samej infrastruktury hostowanej na BunnyCDN.

Tu warto dopowiedzieć, czym jest CDN. To skrót od content delivery network, czyli sieci służącej do szybkiego dostarczania plików i treści. Sama taka infrastruktura jest legalna i powszechnie używana. Problem zaczyna się wtedy, gdy napastnik wykorzystuje ją jako wygodnego pośrednika do hostowania kolejnych etapów ataku.

Jak działa wieloetapowy łańcuch infekcji

Najprościej: atakujący nie dostarcza całego malware od razu. Rozbija infekcję na kilka kroków. Każdy z nich ma wyglądać mniej groźnie niż całość.

Najpierw użytkownik dostaje mail z wiarygodnym kontekstem i dwoma załącznikami. Potem otwiera dokument Word albo PDF. Jeśli pójdzie ścieżką Worda, zostaje poprowadzony do włączenia makr. Jeśli pójdzie ścieżką PDF-a, widzi fałszywy komunikat o problemie z Adobe Reader i sugestię aktualizacji.

W kolejnym kroku system pobiera następny plik z infrastruktury zewnętrznej. Ten plik uruchamia dalszy etap łańcucha. Dopiero później pojawia się właściwy mechanizm zdalnego dostępu i komunikacja z infrastrukturą atakującego.

To właśnie wieloetapowe dostarczanie złośliwego kodu: zamiast jednego podejrzanego pliku pojawia się sekwencja działań, która dopiero po złożeniu w całość pokazuje prawdziwy obraz ataku.

Ścieżka Worda: makro, które nie musi wyglądać jak makro

W wariancie z dokumentem Word kluczową rolę odgrywała technika VBA stomping.

W dokumentach Office złośliwa logika często siedzi w makrach VBA. Standardowo analityk albo narzędzie bezpieczeństwa może zajrzeć do kodu i ocenić, co robi dokument. VBA stomping komplikuje sprawę. Widoczny kod może być pusty, niepełny albo mylący, a w pliku nadal pozostaje skompilowany kod wykonywalny, który uruchamia się po stronie użytkownika.

W tej kampanii po kliknięciu Enable Content dokument pobierał plik code.exe z domeny adobe-pdfreader.b-cdn.net i zapisywał go w katalogu tymczasowym. Dla użytkownika może to wyglądać jak zwykły etap otwierania dokumentu.

Ścieżka PDF: fałszywy błąd Adobe i ClickOnce

Drugi wariant był oparty na PDF-ie, który wyświetlał fałszywy komunikat o problemie z Adobe Reader. Kliknięcie przycisku aktualizacji prowadziło do pobrania pliku Adobe.application.

Tu pojawia się ClickOnce. To legalny mechanizm wdrażania aplikacji .NET w Windows. W normalnym użytkowaniu ma ułatwiać uruchamianie i aktualizowanie aplikacji. W tej kampanii został wykorzystany jako nośnik fałszywej aktualizacji.

Analiza artefaktu w Hybrid Analysis pokazuje PDF zawierający link do Adobe.application w domenie adobe-pdfreader.b-cdn.net. Obserwację tego pliku potwierdza także urlscan.io. Ten fragment kampanii da się więc podeprzeć nie tylko opisem z newsa, ale też śladem widocznym w analizie artefaktu.

Fałszywa aktualizacja to stary pretekst, który nadal działa

Motyw aktualizacji Adobe Reader nie jest nowy. Nadal jednak działa, bo uderza w bardzo prosty odruch. Dokument się nie otwiera, pojawia się techniczny komunikat, więc użytkownik zakłada, że trzeba coś zaktualizować.

To wygląda bardziej jak problem z oprogramowaniem niż jak atak.

Właśnie dlatego edukacja użytkowników nie może kończyć się na haśle nie klikaj w linki. W praktyce dużo ważniejsze jest to, czy człowiek rozpoznaje podejrzaną sekwencję zdarzeń.

Mail z dokumentem. Dokument z rozmytą treścią albo blokadą. Prośba o włączenie makr. PDF z błędem. Przycisk aktualizacji. Pobranie nowego pliku.

Każdy z tych elementów osobno może wyglądać jak coś, co da się wyjaśnić. Razem tworzą bardzo czytelny wzorzec ataku.

Legalne usługi jako warstwa maskowania

Najciekawszy technicznie fragment tej kampanii zaczyna się po uruchomieniu payloadu. Cyber Security News wskazuje, że malware wykorzystywał Microsoft VS Code Remote Tunnels jako ukryty kanał zdalnego dostępu.

VS Code Remote Tunnels to legalna funkcja Visual Studio Code. Microsoft opisuje ją jako sposób łączenia się zdalnie z komputerem przez bezpieczny tunel, bez potrzeby używania SSH. W środowisku developerskim albo administracyjnym może to być normalne narzędzie pracy. W rękach atakującego może stać się wygodnym kanałem dostępu, który nie wygląda jak klasyczny serwer C2 z losowej domeny.

Drugi element to Discord webhooks. To również legalny mechanizm integracyjny, używany do wysyłania powiadomień do kanałów w Discordzie. W tej kampanii miał służyć do natychmiastowego informowania sprawcy o skutecznej kompromitacji systemu.

I właśnie dlatego dzisiejszy malware coraz częściej trzeba analizować jako łańcuch zachowań, a nie jako pojedynczy plik z jednym hashem.

Dlaczego analiza jednego pliku już nie wystarcza

W tej kampanii każdy etap wygląda inaczej i może być wykrywany z różną skutecznością. Dokument Word, PDF, manifest ClickOnce, pobierany plik i późniejsza komunikacja z usługami zewnętrznymi nie muszą wyglądać jednakowo groźnie w różnych narzędziach bezpieczeństwa.

Pytanie czy antywirus wykrył plik przestaje więc wystarczać. Trzeba patrzeć na cały przebieg zdarzeń:

• mail z wiarygodnym kontekstem projektowym,

• dokument Word lub PDF,

• prośba o włączenie makr albo aktualizację,

• pobranie kolejnego pliku z CDN,

• uruchomienie komponentu,

• aktywacja tunelu VS Code,

• powiadomienie przez Discord webhook.

Dopiero taka całość daje realny obraz incydentu.

Co powinno zapalić lampkę ostrzegawczą użytkownikowi

Najważniejsze sygnały wcale nie są bardzo techniczne. Dokument, który wymaga włączenia makr, powinien być traktowany jako wysokie ryzyko. PDF, który każe aktualizować czytnik przez przycisk osadzony w dokumencie, również powinien być traktowany jako potencjalny atak.

Użytkownik nie musi wiedzieć, czym jest VBA stomping, ClickOnce czy tunel VS Code. To nie jest jego rola. Powinien jednak wiedzieć, że dokument nie powinien wymuszać instalowania dodatkowego oprogramowania spoza oficjalnego kanału ani uruchamiania makr bez bardzo mocnego uzasadnienia.

To jest praktyczny poziom awareness, który ma realną wartość w organizacji.

Co powinny sprawdzić zespoły IT i security

Po stronie technicznej ten przypadek dobrze nadaje się do testu widoczności.

Czy organizacja widzi uruchamianie makr w dokumentach z poczty? Czy rejestruje nietypowe pobrania z CDN-ów, które nie są normalnym elementem procesów biznesowych? Czy umie zauważyć użycie ClickOnce tam, gdzie nie jest ono spodziewane? Czy monitoruje VS Code Remote Tunnels na stacjach, które nie powinny z nich korzystać? Czy widzi połączenia do Discord webhooków z nietypowych procesów?

Nie chodzi o blokowanie każdej legalnej usługi. Chodzi o zrozumienie kontekstu. Tunel VS Code u developera może być normalny. Tunel VS Code na komputerze pracownika administracyjnego, który właśnie otworzył podejrzany dokument Word, to już zupełnie inna sytuacja.

Dobrze łączy się to z materiałem Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza. Ten przypadek pokazuje jasno, że filtr poczty to dopiero pierwsza warstwa. Dalej potrzebne są logi, EDR, analiza zachowania i szybka reakcja po kliknięciu.

Dlaczego to temat także dla firm w Polsce

Ta konkretna kampania była wymierzona w administrację w Pakistanie, ale sam model jest całkowicie uniwersalny. Zamiast Safe Jail Project może pojawić się KSeF, przetarg, projekt infrastrukturalny, dokument audytowy, raport od partnera albo pismo z urzędu.

To dokładnie ten sam mechanizm, który stoi za fałszywymi fakturami, dokumentami projektowymi i wiadomościami od rzekomych konsultantów. Różnica polega na tym, że łańcuch po kliknięciu jest bardziej dojrzały technicznie.

Właśnie dlatego warto łączyć ten przypadek z materiałami Fałszywa faktura w KSeF. Prawdziwe zagrożenie dla firm oraz Fałszywa faktura od Orange w mailu. Uwaga na Formbook w załączniku. Pretekst może być inny, ale odbiorca nadal ma zrobić tę samą rzecz: zaufać dokumentowi i wykonać kolejny krok.

Najważniejsza lekcja z tej kampanii

Ta kampania pokazuje, że złośliwy załącznik w 2026 roku nie musi być prostym plikiem wykonywalnym. Może być dokumentem Word z ukrytą logiką, PDF-em z fałszywą aktualizacją, manifestem ClickOnce, legalnym CDN-em, tunelem VS Code i Discord webhookiem. Każdy etap osobno może wyglądać mniej groźnie niż całość.

Dlatego firmy powinny przestać patrzeć na phishing wyłącznie jak na problem kliknięcia. Kliknięcie jest tylko początkiem. Prawdziwe ryzyko zaczyna się wtedy, gdy po kliknięciu użytkownik zostaje poprowadzony przez kilka pozornie technicznych kroków, które razem budują pełny łańcuch kompromitacji.

Jeżeli chcesz sprawdzić, czy pracownicy rozpoznają taki scenariusz zanim włączą makra albo pobiorą fałszywą aktualizację, dobrym początkiem jest quiz phishingowy PHISHLY.