Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be a vállalat saját telemetriai adatai, illetve kutatói elemzései alapján. Az időszak egyik legszembetĹąnőbb fejleménye az áldozatokat megtévesztő ClickFix nevĹą támadási vektor robbanásszerĹą elterjedése volt: előfordulása több mint 500 százalékkal nőtt az előző félévhez képest. Ezzel az egyik leggyorsabban növekvő fenyegetéssé vált, amely jelenleg az adathalászat után a második leggyakoribb módszer a kibertámadások között.

A jelentés összefoglalása:

• A megtévesztő hibaüzenetekre épülő ClickFix esetek száma több mint 500 százalékkal nőtt, így ez lett az adathalászat után a második leggyakoribb módszer, ami az összes blokkolt kibertámadás csaknem 8 százalékát teszi ki.

• A SnakeStealer megelőzte az Agent Teslát, és a leggyakrabban észlelt adatlopó kártevővé vált. 

• Az ESET részt vett két jelentős Malware-as-a-Service (MaaS) szolgáltató, a Lumma Stealer és a Danabot mĹąveleteinek felszámolásában.

• A zsarolóvírus-bandák közötti ellentétek, például a RansomHubnál tapasztalt rivalizálás belső káoszt okoztak. Bár több támadás történt, a váltságdíjfizetések csökkentek, részben a hatósági fellépés és a bizalomhiány miatt.

• Az Android-reklámprogram-észlelések 160%-kal emelkedtek a Kaleidoscope kártevő miatt, míg az NFC-alapú visszaélések több mint harmincötszörösükre nőttek, többek között a digitális pénztárca lopásra alkalmas GhostTap és a SuperCard X eszközök révén. 

ClickFix: hamis hibaüzenetek, valódi veszély

Mindannyian találkoztunk már olyan weboldal üzenetekkel, amelyek arra kértek, hogy bizonyítsuk, hogy nem robotok vagyunk. Egy elmosódott szöveget kellett beírnunk egy üres mezőbe, vagy meg kellett jelölnünk az összes buszt, közlekedési lámpát stb. tartalmazó képet, esetleg egy kirakós hiányzó darabját kellett a helyére illesztenünk. A felhasználók már hozzászoktak ehhez, és valószínĹąleg kevesen kérdőjeleznék meg, ha egy új típusú feladattal kellene bizonyítaniuk, például azzal, hogy valamit kimásolnak és beillesztenek az eszközükre. Pontosan erre gondoltak a kiberbĹąnözők is, amikor az internet egyik legbosszantóbb funkcióját egy új támadási módszerré alakították.

A ClickFix a social engineering (pszichológiai manipuláció) egy új fajtája, amely hamis hibaüzenettel vagy hitelesítő üzenettel veszi rá az áldozatokat egy rosszindulatú szkript kimásolására és beillesztésére, majd futtatására. A módszer minden nagyobb operációs rendszert érint, beleértve a Windows, Linux és macOS platformokat is.

Hamis reCAPTCHA üzenet, amely arra utasítja az áldozatot, hogy illesszen be és hajtson végre egy rosszindulatú parancsot az eszközén

„A ClickFix-hez köthető fenyegetések listája napról napra bővül, ideértve adatlopó kártevőket, zsarolóvírusokat, távoli hozzáférésĹą trójai programokat, kriptobányász programokat, az utólagos támadást lehetővé tévő post-exploitation eszközöket, sőt még nemzetállamokhoz köthető fenyegető szereplők által használt, egyedi kártevőket is” – mondja Jiří Kropáč, az ESET Threat Prevention Labs igazgatója. 

A SnakeStealer lett a fő adatlopó

Az adatlopó kártevők terén is jelentős változások történtek. Miután az Agent Tesla készítői felhagytak a rosszindulatú programok fejlesztésével, a SnakeStealer (más néven Snake Keylogger) vette át a vezetést, és vált a telemetriában leggyakrabban észlelt adatlopóvá. A SnakeStealer képes naplózni a billentyĹąleütéseket, menteni a hitelesítési adatokat, alkalmas képernyőképek készítésére és a vágólap tartalmának gyĹąjtésére. 

A kártevő főként adathalász e-mailek rosszindulatú mellékleteként terjed, többek között közép- és kelet-európai országokban is. A SnakeStealer üzemeltetői egy VIP verziót is kínálnak, amely magasabb díj ellenében további funkciókat tartalmaz.

Két legyet egy csapásra

A bĹąnüldöző szervek és a kiberbiztonsági cégek –köztük az ESET – hónapokig tartó kemény munkája meghozta gyümölcsét, és nem egy, hanem két ismert adatlopó tevékenységét sikerült közös erővel felszámolni. A Lumma Stealer és a Danabot nevĹą, kész kártevőket eladásra kínáló Malware-as-a-Service (MaaS) szolgáltató a beavatkozást megelőzően egyaránt jelentős aktivitást mutatott: a Lumma Stealer előfordulása 21%-kal, a Danaboté pedig 52%-kal nőtt 2024 második félévéhez képest. Ez jól mutatja, mekkora fenyegetésről volt szó, és mennyire fontos volt ezek felszámolása – az összefogásnak köszönhetően 2025 májusában az infrastruktúrájuk nagy része leállt.

Csökkent a kifizetett váltságdíjak összértéke

A zsarolóvírusok világát belső konfliktusok uralják: a különböző bandák közti rivalizálás számos szereplőt megingatott, köztük az egyik legismertebb zsarolóvírus-szolgáltatást, a RansomHubot. A 2024-es adatok szerint bár nőtt a támadások száma és több aktív banda mĹąködött, a váltságdíj-kifizetések összértéke jelentősen visszaesett. Ez részben annak köszönhető, hogy több bĹąnbandát sikerült felszámolni, illetve néhány csoport úgynevezett „exit scamet” hajtott végre, vagyis beszedték a váltságdíjat, majd eltĹąntek anélkül, hogy teljesítették volna az ígéretüket. Ez pedig erősítette azt a trendet, hogy egyre több áldozat nem hisz abban, hogy érdemes fizetnie a zsarolóknak.

NFC-alapú és digitális tárcák elleni támadások

Az Android platformon észlelt reklámprogramok száma 160%-kal nőtt, amit elsősorban a Kaleidoscope névre keresztelt, kifinomult kártevő megjelenése okozott. Ez a rosszindulatú szoftver megtévesztő „gonosz iker” módszerrel terjeszti a kártékony alkalmazásokat, amelyek zavaró hirdetésekkel árasztják el a felhasználókat, rontva az eszköz teljesítményét. A mĹąvelet mögött álló kiberbĹąnözők ugyanazon alkalmazásból két, közel azonos verziót készítenek – egy ártalmatlant, amely a hivatalos alkalmazásboltokban érhető el, és egy rosszindulatú verziót, amely harmadik féltől származó boltokon keresztül terjed.

A „Birds on a wire” játék ikonjai: bal oldalon az ártalmatlan app ikonja, mellette a fehér kör a „gonosz iker” ikonja 

Az NFC technológia jó célokra használva gyorsabb és biztonságosabb fizetést tesz lehetővé, de sajnos a kiberbĹąnözők figyelmét sem kerülte el. Az NFC-alapú visszaélések száma több mint harmincötszörösére nőtt, ami főként adathalász kampányok és relay támadások növekedésének köszönhető, melyek során a támadók távolról is képesek visszaélni a digitális tárcák adataival. Bár a számok összességében még nem számítanak magasnak, a növekedés rávilágít arra, hogy a bĹąnözők gyorsan alkalmazkodnak, és továbbra is nagy figyelmet fordítanak az NFC-technológia kihasználására. 

Az ESET kutatásai szerint a GhostTap nevĹą kártevő képes ellopni a felhasználók kártyaadatait, amelyeket a támadók saját digitális pénztárcáikba másolnak, és azokat világszerte érintésmentes fizetésekhez használják fel telefonjaikkal. A szervezett csalásokat gyakran „fraud farmok” végzik, amelyek egyszerre több készülékkel futtatják a támadásokat. A SuperCard X ezzel szemben egy minimalista, egyszerĹąen használható MaaS szolgáltatásként kínálja az NFC-alapú lopást. Az ártatlannak tĹąnő app telepítése után a háttérben valós időben továbbítja a megszerzett kártyaadatokat a támadóknak.

„Az új típusú social engineering technikáktól a fejlett mobilos fenyegetéseken át a jelentős adatlopó támadások megzavarásáig az első félév történései jól mutatják, hogy 2025 sem telik eseménytelenül a kibertérben, és hogy minden platform érintett lehet a támadásokban.” – összegezte Béres Péter, az ESET termékeit forgalmazó Sicontact Kft. IT-vezetője az ESET legfrissebb jelentésének tartalmát.

További részletek az ESET 2025 első félévére vonatkozó kiberfenyegetettségi jelentésében olvashatók a WeLiveSecurity.com oldalon. Friss hírekért kövessék az ESET Research csatornáit X-en (korábbi Twitteren), BlueSky-on és Mastodonon.

English Summary

The latest ESET Cybersecurity Threat Report, covering December 2024 to May 2025, highlights the rapid rise of a new attack method called ClickFix, which saw over a 500% increase in use, making it the second most common cyberattack vector after phishing. ClickFix deceives users into copying and running malicious scripts via fake error messages, affecting all major operating systems. The report also notes that SnakeStealer has become the most detected data-stealing malware, surpassing Agent Tesla. Meanwhile, law enforcement and cybersecurity firms successfully disrupted two major Malware-as-a-Service providers, Lumma Stealer and Danabot. Other key findings include a drop in ransomware payments due to internal conflicts among cybercriminals and a surge in Android adware and NFC-based digital wallet attacks.