Falešné videokonferenční aplikace skrývají malware

17. 4. 2020

Sdílet

 Autor: Adobe Stock
Analýza odhalila dvouset malwarů, které měly velmi podobné názvy jako oblíbené aplikace mezi něž patří Zoom, Webex nebo Slack. Na Čechy útočí i pod záminkou koronaviru.

Vzhledem k povinné izolaci a přesunu práce z kanceláří do obyváků a domácích pracoven se odborníci z Kaspersky zaměřili na kyberhrozby zacílené na videokonferenční aplikace. Jejich analýza odhalila okolo 1 300 souborů, které měly velmi podobné názvy jako oblíbené aplikace mezi něž patří Zoom, Webex nebo Slack. Ty umožnují online video schůzky, díky nimž kolegové domlouvají důležité pracovní záležitosti, vyřizují běžnou agendu nebo jen udržují vzájemný kontakt.

Momentálně zvýšeného zájmu ale zneužívají kyberzločinci, kteří takto pojmenovanými soubory šíří různé kybernetické hrozby.

 Při analýze více než 1 300 škodlivých souborů bylo objeveno 200 různých hrozeb. Nejrozšířenější jsou dvě adwarové rodiny – DealPly a DownloadSponsor. Obě rodiny zahrnují instalery, které na napadeném zařízení zobrazují nevyžádanou reklamu nebo stahují další adwarové moduly. Tento typ softwaru se do zařízení nejčastěji dostane po stažení z neoficiálních obchodů s aplikacemi.

I když se v případě adwaru nejedná o typickou kybernetickou hrozbu, může představovat riziko pro soukromí uživatele.

Kromě adwaru odborníci z Kaspersky v několika případech objevili i hrozby schované v souborech ve formátu .lnk – zkratka k aplikacím. Většina z nich byla detekována jako Exploit.Win32.CVE-2010-2568 – poměrně starý, ale stále často používaný škodlivý kód, který útočníkům umožňuje infikovat počítače dalším malwarem.

Pomyslným absolutním vítězem mezi video-hovorovými aplikacemi, jejichž jména hackeři zneužívají k šíření škodlivých programů, je Skype. Odborníci z Kaspersky našli více než 120 000 podezřelých souborů, které používaly jméno této aplikace. Na rozdíl od jiných používali toto jméno nejen k distribuci adwaru, ale i dalšího malwaru, především trojských koní.

Výrobce jiného antiviru Eset zase přišel se statistikou  nejčastějších kybernetických hrozeb v České republice. Pod ní v březnu naše počítače  nejvíce ohrožoval malware, který se pro útočníky pokouší získávat hesla z prohlížečů.

Nejčastěji se hrozby šíří spamem a největší hrozbou byl trojský kůň Spy.Agent.AUS. Z infikovaného zařízení dokáže získat hesla uložená v prohlížečích, dále hesla k e-mailovým klientům, FTP a chatovacím službám. Mimo to může zaznamenávat, jaké znaky uživatel píše na klávesnici, odposlouchávat webkameru a data z clipboardu, krátkodobé paměti běžně využívané při kopírování a vkládání pomocí zkratek CTRL+C a CTRL+V.

„Spy.Agent.AUS je novější a schopnější variantou rodiny malware Spy.Agent. Minulý rok ohrožovala české uživatele jiná verze tohoto malware s koncovkou .AES, ta ale poslední měsíce slábne,“ popisuje vývoj Martin Jirkal, vedoucí analytického oddělení v české pobočce firmy Eset.

Útočníci podle něj zneužívají situaci, kdy řada lidí pracuje z domova. Z funkcí trojského koně je patrné, že se zaměřili na služby pro vzdálenou práci, ať už jde o e-maily a komunikační služby či FTP servery, kde firmy ukládají sdílená data. 

Domácí sítě bývají obecně hůře zabezpečené, je tedy možné, že nynější karanténní opatření jim v tomto ohledu usnadňují práci. Spy.Agent.AUS se šíří prostřednictvím spamu. Ačkoliv se nejčastěji skrývá v podvodných dokumentech, tak jeho operátoři zneužívají i aktuální trend, kdy si malware uživatel stáhne a spustí sám z přílohy zprávy s názvem „Coronavirus Disease (COVID-19) CURE.exe“ slibující lék na COVID-19. Naštěstí tento trojský kůň útočí prozatím pouze v angličtině.

„Absence českého překladu může znamenat i to, že útočníci chtěli co nejrychleji využít současnou situaci a neměli čas útoky pečlivěji připravit.  V příštích měsících bude zřejmé, zda se jim tato varianta   malware vyplatí a bude, zda se objeví i v češtině,“ dodává Jirkal. 

I další z nejčastějších hrozeb se šíří e-mailem a od ledna i v lokalizované podobě, tady v češtině. Na druhém místě se v březnu umístil trojský kůň Fareit. Útočníci jej zneužívají k odcizení hesel z internetových prohlížečů Chrome, Firefox, Opera či Internet Explorer. Malware se šířil spamovou kampaní, formou příloh zpráv s názvy jako „Žádost o nabídku 06-01-2020.pdf.exe“ apod.

Na třetím místě se stabilně drží backdoor Adwind. Jakmile je aktivní, je schopen odcizit informace o uživateli, nebo je možné zařízení uživatele zneužít k distribuci dalšího škodlivého kódu. Adwind napadá různé operační systémy.

E-mail je obecně po celém světě nejběžnějším nástrojem k šíření škodlivého kódu. Experti proto apelují na uživateli, aby byli opatrní při otevírání příloh ve své e-mailové schránce.

„Obvykle se jedná o nějaký zdánlivě běžný dokument, jakým může být faktura či avízo od logistické společnosti, popř. spustitelný soubor s dvojitou koncovkou tvářící se jako dokument. Typickým chováním v případě MS Office dokumentů je při jejich spuštění požadavek na spuštění maker či povolení úprav. Pokud tak učiníte, malware dostane možnost se spustit. Doporučil bych proto si všechny nestandardní e-maily před jejich otevřením nejdříve pečlivě prověřit, obzvláště nyní, kdy řada uživatelů pracuje ze svých domovů,“ radí Jirkal.

bitcoin_skoleni

Nejčastější kybernetické hrozby v České republice za březen 2020:

1.        Trojan.MSIL/Spy.Agent.AUS (4,78 %)
2.        Trojan.Win32/PSW.Fareit (4,31 %)
3.        Backdoor.Java/Adwind (3,36 %)
4.        Backdoor.MSIL/NanoCore (3,28 %)
5.        Trojan.Win32/HackTool.Equation (2,75 %)
6.        Trojan.Win32/Formbook (2,57 %)
7.        Trojan.MSIL/Spy.Agent.AES (1,92 %)
8.        Win32/Ramnit (1,38 %)
9.        Win32/Floxif (1,31 %)
10.      Backdoor.Win32/Rescoms (1,24 %)