HumanitarianBait. Fałszywa pomoc humanitarna jako przynęta do szpiegowskiego malware

2026-05-12

TL;DR

Operation HumanitarianBait pokazuje, że phishing może wykorzystywać nie tylko strach, pieniądze i konta. Może wykorzystywać również temat pomocy humanitarnej. W opisanej kampanii przynęta wygląda jak rosyjskojęzyczny formularz związany z pomocą humanitarną. Użytkownik ma otworzyć materiał, a w tle uruchamia się wieloetapowy łańcuch infekcji.

Według Cyble kampania wykorzystuje plik LNK, PowerShell, GitHub Releases, obfuskację PyArmor i PE-less Python implant. Malware może zbierać dane z przeglądarek, sesje, keystroki, schowek, zrzuty ekranu, dane Telegrama, pliki oraz uruchamiać zdalny dostęp przez RustDesk lub AnyDesk.

To nie jest tylko techniczny raport o malware. To dobry przykład phishingu, który wykorzystuje emocjonalny i formalny kontekst, żeby użytkownik otworzył coś, czego normalnie by nie uruchomił.

Pomoc humanitarna jako kontekst zaufania

Przynęty humanitarne są szczególnie podstępne, bo dotykają tematów, które użytkownik może uznać za pilne, ważne albo moralnie uzasadnione. Formularz, wniosek, lista potrzeb, dokument pomocy, ankieta albo zgłoszenie mogą wyglądać jak coś, czym trzeba się zająć szybko.

W środowiskach NGO, administracji, mediów, zdrowia, edukacji, pomocy społecznej i organizacji międzynarodowych taki dokument nie musi wyglądać podejrzanie. Może wyglądać jak codzienna praca. To właśnie czyni go skuteczną przynętą.

W Polsce podobny scenariusz mógłby dotyczyć organizacji pomocowych, samorządów, placówek medycznych, uczelni, fundacji, firm obsługujących uchodźców, programów grantowych albo zespołów odpowiedzialnych za kryzys i pomoc społeczną. Atakujący nie musi znać całej organizacji. Wystarczy, że trafi w temat, który odbiorca uzna za ważny i pilny.

Ten scenariusz warto porównać z materiałem o phishingu wykorzystującym wiarygodne dokumenty i pliki LNK. W obu przypadkach najważniejszy nie jest sam załącznik, ale kontekst, który daje użytkownikowi powód, żeby go otworzyć.

LNK, PowerShell i dokument-przynęta

Technicznie kampania zaczyna się od pliku LNK, czyli skrótu Windows. To ważne, bo LNK może wyglądać jak element paczki dokumentów, ale po uruchomieniu wykonuje polecenia. W Operation HumanitarianBait plik LNK zawiera obfuskowaną zawartość, którą PowerShell odczytuje i uruchamia.

PowerShell to wbudowane w Windows narzędzie administracyjne i język skryptowy. Administratorzy używają go legalnie do automatyzacji pracy. Atakujący lubią go z tego samego powodu: pozwala uruchamiać polecenia, pobierać dane, wykonywać skrypty i łączyć różne etapy ataku.

Równolegle użytkownik widzi dokument-przynętę. To typowy zabieg: dać ofierze coś, czego się spodziewa, żeby nie zauważyła, że w tle dzieje się właściwa infekcja. Człowiek czyta formularz, a system buduje środowisko uruchomieniowe dla malware.

To dobry moment szkoleniowy. Jeżeli użytkownik kliknął i dokument się otworzył, nie oznacza to, że wszystko jest w porządku. W wielu kampaniach dokument-przynęta ma właśnie odwrócić uwagę od procesu uruchomionego obok.

GitHub Releases jako legalna infrastruktura

Cyble opisuje użycie GitHub Releases do hostowania payloadu. GitHub Releases to funkcja pozwalająca publikować wersje projektu i pliki do pobrania. Dla developerów, administratorów i zespołów IT jest to normalny element pracy.

Atakujący korzysta z tego zaufania. Jeśli payload pochodzi z infrastruktury, która nie jest od razu blokowana, łatwiej ominąć proste filtry sieciowe. To podobna logika jak przy nadużywaniu legalnych platform SaaS w phishingu. Nie chodzi o to, że GitHub jest zły. Chodzi o to, że legalna platforma może zostać włączona do złośliwego łańcucha.

Dlatego detekcja musi patrzeć na kontekst. Kto pobiera plik, kiedy, po jakim zdarzeniu, z jakiego procesu i co dzieje się później. Pobranie z GitHub przez developera po świadomym wejściu na stronę projektu to jedno. Pobranie payloadu przez PowerShell uruchomiony z pliku LNK po otwarciu archiwum to zupełnie inna sytuacja.

PE-less Python implant i nadzór nad użytkownikiem

Najpoważniejszy element kampanii to implant działający jako platforma nadzoru. PE-less oznacza, że malware nie działa jak typowy plik wykonywalny Windows w formacie PE, czyli Portable Executable. W tym przypadku logika opiera się na Pythonie i sposobie uruchomienia, który utrudnia prostą detekcję po pliku EXE.

Według Cyble malware nie ogranicza się do kradzieży hasła. Może zbierać dane z przeglądarek, aktywne sesje, keystroki, schowek, zrzuty ekranu, dane Telegrama i pliki. Może też zapewniać zdalny dostęp przy użyciu RustDesk lub AnyDesk.

RustDesk i AnyDesk to narzędzia do zdalnego dostępu. Same w sobie nie muszą być złośliwe. W wielu firmach służą do wsparcia technicznego. Problem zaczyna się wtedy, gdy zostają uruchomione bez wiedzy użytkownika albo użyte jako element kontroli nad zainfekowanym komputerem.

To zmienia wagę incydentu. Jeżeli użytkownik uruchomił taki plik, nie wystarczy skasować maila i zmienić jednego hasła. Trzeba sprawdzić aktywne sesje, tokeny, pliki, komunikatory, historię połączeń, persistence i możliwy dostęp zdalny.

Persistence oznacza mechanizm utrzymania dostępu po restarcie komputera lub ponownym zalogowaniu użytkownika. Jeśli malware uzyska persistence, jednorazowe zamknięcie programu albo usunięcie widocznego pliku może nie rozwiązać problemu.

Co powinien zrobić zespół IT i Security

Pierwszy obszar to kontrola załączników. Archiwa zawierające LNK powinny być traktowane jako wysokie ryzyko. Skrót nie jest dokumentem, nawet jeśli jego nazwa, ikona albo kontekst sugerują coś innego.

Drugi obszar to detekcja zachowania. Warto monitorować uruchomienia PowerShell po otwarciu załącznika, tworzenie środowiska Python w katalogach użytkownika, pobieranie z GitHub Releases, planowane zadania, ukryte procesy, nietypowe zrzuty ekranu i uruchamianie narzędzi zdalnego dostępu.

Trzeci obszar to procedura obsługi podejrzanych dokumentów. Organizacje, które regularnie pracują z załącznikami od zewnętrznych osób, powinny mieć bezpieczny kanał weryfikacji. Użytkownik nie powinien musieć samodzielnie rozstrzygać, czy formularz pomocy humanitarnej jest bezpieczny.

W polskich realiach dotyczy to nie tylko fundacji i NGO. Dotyczy również urzędów, szkół, uczelni, placówek medycznych, samorządów, firm obsługujących projekty publiczne i zespołów, które przyjmują dokumenty od osób spoza organizacji.

Lekcja dla awareness

Ten scenariusz jest trudny, bo nie bazuje na banalnej przynęcie. Nie chodzi o darmowy voucher ani dziwną fakturę. Chodzi o temat, który może być ważny, pilny i emocjonalny. Właśnie dlatego warto go ćwiczyć.

Dobre szkolenie powinno uczyć, że podejrzany może być nie tylko temat wiadomości, ale też typ pliku i sposób dostarczenia. Jeżeli ktoś wysyła archiwum, w którym dokument okazuje się skrótem LNK, użytkownik powinien zatrzymać proces i zgłosić sprawę.

W testach phishingowych dla firm taki scenariusz może mierzyć nie tylko kliknięcie, lecz także reakcję po otwarciu paczki, rozpoznanie nietypowego typu pliku i zgłoszenie incydentu.

Warto też ćwiczyć reakcję po błędzie. Jeżeli użytkownik uruchomił plik i dopiero potem zauważył coś dziwnego, powinien wiedzieć, że zgłoszenie nadal ma sens. Szybka informacja do IT może pomóc odizolować urządzenie, zebrać artefakty i ograniczyć dalsze skutki.

Wniosek

HumanitarianBait przypomina, że najgroźniejszy phishing nie zawsze wygląda jak oszustwo finansowe. Czasem wygląda jak dokument związany z pomocą, misją, obowiązkiem albo odpowiedzialnością społeczną. Atakujący wykorzystuje nie tylko technikę, ale też emocjonalny sens pracy odbiorcy.

Obrona wymaga więc dwóch rzeczy naraz: technologii wykrywającej LNK, PowerShell, GitHub-hosted payloads i zdalny dostęp oraz programu awareness, który uczy użytkownika zatrzymania procesu nawet wtedy, gdy temat wiadomości wydaje się ważny.