Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest malware EKZ Stealer?
EKZ Stealer to narzędzie do kradzieży informacji zaprojektowane w celu cichego wyodrębniania zapisanych haseł, plików cookie, danych autouzupełniania oraz danych kart płatniczych z przeglądarek internetowych na zainfekowanych komputerach z systemem Windows. Według badań przeprowadzonych przez Arctic Wolf, został po raz pierwszy zaobserwowany w maju 2026 roku jako część kampanii wymierzonej w organizacje korzystające z oprogramowania Fortinet FortiClient EMS.
Aby dostarczyć narzędzie kradnące dane, atakujący zamaskował je jako legalną aktualizację oprogramowania Fortinet o nazwie FortiEndpoint_Patch.exe. Plik był automatycznie przesyłany do zarządzanych punktów końcowych za pośrednictwem zmodyfikowanych konfiguracji profili VPN, co oznacza, że ofiary zazwyczaj nie miały pojęcia, że malware było instalowane.
Przegląd EKZ Stealer
Malware atakuje zarówno przeglądarki oparte na Chromium (takie jak Chrome i Edge), jak i przeglądarki oparte na Firefox, w tym LibreWolf, Waterfox, Pale Moon i Thunderbird. Z tych aplikacji zbiera zapisane dane logowania, sesyjne pliki cookie, dane autouzupełniania i zapisane numery kart kredytowych.
Po zakończeniu zbierania danych, zebrane informacje są zapisywane w pliku dziennika na komputerze ofiary, a następnie wysyłane na serwer kontrolowany przez atakujących za pośrednictwem połączenia HTTP. Stealer obsługuje wielokrotne użycie na wielu hostach za pośrednictwem interfejsu wiersza poleceń, co sugeruje, że jest używany w ukierunkowanych operacjach prowadzonych przez operatorów.
Kampania udokumentowana przez Arctic Wolf wykorzystywała CVE-2026-35616, lukę w zabezpieczeniach FortiClient EMS, która dawała nieuwierzytelniony dostęp do interfejsu API zarządzania serwerem. Atakujący wykorzystali ten przyczółek do modyfikacji konfiguracji profili VPN, wstrzykując złośliwe polecenia PowerShell, które były automatycznie wykonywane na wszystkich zarządzanych punktach końcowych po nawiązaniu połączenia VPN.
Jak EKZ Stealer kradnie dane przeglądarki
Przeglądarki oparte na Chromium szyfrują zapisane hasła przy użyciu zabezpieczeń powiązanych z kontem użytkownika Windows. EKZ Stealer omija to, kopiując się do własnego folderu aplikacji przeglądarki i uruchamiając się ponownie z tej lokalizacji, co powoduje, że przeglądarka traktuje go jako zaufany proces wewnętrzny.
Z tej pozycji wywołuje uprzywilejowaną funkcję przeglądarki w celu pobrania klucza deszyfrującego AES-256 używanego do ochrony przechowywanych danych uwierzytelniających. Pozwala to stealerowi odczytać każde zapisane hasło w przeglądarce bez żadnego ostrzeżenia dla użytkownika.
Unikanie wykrycia
EKZ Stealer podejmuje kroki w celu utrudnienia analizy i usunięcia śladów infekcji. Jego plik wykonywalny ma wyzerowany znacznik czasu kompilacji, co usuwa znacznik daty zwykle używany przez badaczy do określenia, kiedy program został skompilowany.
Malware było również dostarczane za pośrednictwem skryptów PowerShell zakodowanych w Base64, które mogą omijać filtry skanujące rozpoznawalne złośliwe polecenia. Po zakończeniu eksfiltracji stealer usuwa plik ładunku i czyści powiązane wpisy dziennika, zacierając dowody infekcji.
| Nazwa | EKZ infostealer |
| Typ Zagrożenia | Złodziej informacji, Trojan, Wirus kradnący hasła |
| Nazwy Wykrycia | Avast (Win64:MalwareX-gen [Misc]), AVG (Win64:MalwareX-gen [Misc]), Combo Cleaner (Trojan.PasswordStealer.GenericKDS.6861), Kaspersky (Trojan-PSW.Win64.Agent.aea), Microsoft (Trojan:Win32/Qwexlafiba!rfn), Pełna Lista (VirusTotal) |
| Objawy | Stealery są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego na zainfekowanym komputerze nie są wyraźnie widoczne żadne szczególne objawy. |
| Metody Dystrybucji | Wykorzystana luka w oprogramowaniu (CVE-2026-35616), złośliwe skrypty PowerShell, fałszywa aktualizacja oprogramowania (podszywająca się pod legalną poprawkę Fortinet). |
| Szkody | Kradzież haseł i informacji bankowych, kradzież tożsamości, przejęcie kont, dodatkowe infekcje, straty finansowe. |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Podsumowanie
Ofiary EKZ Stealer mogą utracić wszystkie dane uwierzytelniające przechowywane w swoich przeglądarkach, w tym hasła do kont, dane kart płatniczych i sesyjne pliki cookie, które mogą pozwolić atakującym na dostęp do kont bez potrzeby posiadania oryginalnego hasła. Wszystkie konta aktywne w przeglądarce w momencie infekcji należy uznać za potencjalnie skompromitowane.
Procedura czyszczenia stealera utrudnia potwierdzenie infekcji po fakcie, a organizacje dotknięte luką w FortiClient EMS mogły mieć go wdrożonego jednocześnie na wielu urządzeniach. EKZ Stealer powinien zostać natychmiast usunięty z systemu.
Więcej przykładów stealerów to DebugElevator, Evolution i Needle.
Jak EKZ Stealer zinfiltrował mój komputer?
Według Arctic Wolf, kampania EKZ Stealer wykorzystywała CVE-2026-35616, lukę w zabezpieczeniach FortiClient EMS firmy Fortinet, która umożliwiała nieuwierzytelniony dostęp do interfejsu API zarządzania serwerem. Atakujący uzyskali kontrolę administracyjną i zmodyfikowali ustawienia profili VPN, aby wstrzyknąć złośliwe skrypty PowerShell do konfiguracji.
Skrypty te były automatycznie wykonywane na wszystkich zarządzanych punktach końcowych za każdym razem, gdy nawiązywano połączenie VPN. Ładunek nosił nazwę FortiEndpoint_Patch.exe i dla większości użytkowników i administratorów wyglądał jak rutynowa aktualizacja oprogramowania Fortinet, a nie malware.
Poza tą konkretną kampanią stealery zwykle docierają do użytkowników za pośrednictwem wiadomości phishing, fałszywych witryn do pobierania oprogramowania, pirackiego oprogramowania i cracków oprogramowania.
Jak uniknąć instalacji malware?
Aktualizuj całe oprogramowanie, w tym narzędzia do zarządzania siecią i klientów VPN. Luki takie jak CVE-2026-35616 są łatane przez dostawców po ich wykryciu, ale urządzenia muszą faktycznie otrzymać i zastosować te poprawki, aby były chronione. Pobieraj aktualizacje oprogramowania wyłącznie bezpośrednio z oficjalnych witryn dostawców.
Zachowaj ostrożność wobec nieoczekiwanych wiadomości e-mail zawierających załączniki lub łącza, nawet jeśli wydają się pochodzić z zaufanego źródła. Korzystaj z renomowanego oprogramowania antywirusowego i regularnie skanuj w poszukiwaniu zagrożeń. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować infiltrowane malware.
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest EKZ Stealer?
- KROK 1. Ręczne usuwanie malware EKZ Stealer.
- KROK 2. Sprawdź, czy Twój komputer jest czysty.
Jak ręcznie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem - zwykle лучше позволить antywirus lub programy antymalware wykonały to automatycznie. Aby usunąć to malware, zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcesz usunąć malware ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy malware, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować, wykonując następujące kroki:
Pobierz program o nazwie Autoruns. Program ten wyświetla automatycznie uruchamiane aplikacje, lokalizacje w Rejestrze i systemie plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Komputer uruchomi się ponownie w „Menu zaawansowanych opcji uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień uruchamiania. Naciśnij F5, aby uruchomić w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", następnie wybierz „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie naciśnij klawisz „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wypakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po tej procedurze kliknij ikonę „Refresh".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik malware, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre malware ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby nie usuwać plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwie i wybierz „Delete".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym starcie systemu), powinieneś wyszukać nazwę malware na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku malware, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć wszelkie malware z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie malware programom antywirusowym i antymalware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest zapobiegać infekcji niż próbować później usuwać malware. Aby zapewnić bezpieczeństwo komputera, instaluj najnowsze aktualizacje systemu operacyjnego i korzystaj z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji malware, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware EKZ Stealer, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie usuwa EKZ Stealer, ale jednocześnie kasuje wszystkie dane na dysku. Uruchomienie renomowanego narzędzia bezpieczeństwa, takiego jak Combo Cleaner, jest zalecanym pierwszym krokiem; formatowanie powinno być rozważane jedynie jako ostateczność.
Jakie są największe problemy, które może powodować malware EKZ Stealer?
EKZ Stealer może skutkować kradzieżą wszystkich zapisanych haseł przeglądarki, sesyjnych plików cookie i danych kart płatniczych. Może to prowadzić do przejęcia kont, kradzieży tożsamości i oszustw finansowych, szczególnie jeśli skradzione dane uwierzytelniające obejmują konta bankowe lub pocztowe.
Jaki jest cel malware EKZ Stealer?
Celem EKZ Stealer jest zbieranie zapisanych danych uwierzytelniających i wrażliwych danych z przeglądarek internetowych, w tym haseł, plików cookie, danych autouzupełniania i danych kart płatniczych, a następnie wysyłanie tych informacji do atakujących w celu ich wykorzystania.
Jak malware EKZ Stealer zinfiltrował mój komputer?
EKZ Stealer zaobserwowano rozprzestrzeniającego się za pośrednictwem kampanii wykorzystującej CVE-2026-35616, lukę w zabezpieczeniach FortiClient EMS. Atakujący wstrzyknęli złośliwe skrypty PowerShell do konfiguracji VPN, powodując automatyczne uruchomienie stealera na zarządzanych punktach końcowych bez żadnej akcji ze strony użytkownika.
Czy Combo Cleaner ochroni mnie przed malware?
Tak. Combo Cleaner może wykrywać i usuwać większość znanych malware, w tym stealery informacji. Zalecane jest uruchomienie pełnego skanowania systemu, aby upewnić się, że żadne zagrożenia nie zostaną pominięte, a system jest dokładnie oczyszczony.
Udostępnij:
Facebook
X.com
LinkedIn
Skopiuj link
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję