Nejvážnější hrozbou zůstal spyware, cílí na hesla

6. 11. 2020

Sdílet

 Autor: © maninblack - Fotolia.com
Třetina kybernetických hrozeb se pokouší získat hesla uživatelů. V říjnu se čeští uživatelé museli především s českým malwarem a spywarem. Vyplývá to z pravidelných dat společnosti Eset.

Nejvýraznější hrozbou pro české uživatele zůstal spyware, konkrétně Spy.Agent.AES. Tento trojský kůň se zaměřuje na odcizení hesel, které si uživatel uloží v prohlížeči. Kvůli výrazné kampani na začátku měsíce stál za čtvrtinou všech detekcí malware v České republice. Šířil se v přílohách škodlivých e-mailů.

„Útočníci pomocí malware Spy.Agent.AES zaútočili na začátku října a po zbytek měsíce tato kampaň doznívala. Na rozdíl od září se změnil jazyk kampaně.  Dříve jsme zaznamenali útoky v českém jazyce, v říjnu v angličtině,“ popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti Eset. „V rámci této kampaně byl použit kód, který lze snadno zakoupit na černém trhu. Je tedy možné, že si jej takto opatřila nová skupina útočníků, která si prozatím nedala práci s lokalizací spamu,” dodává Jirkal.

Podobným typem malware je trojský kůň FormBook. Stejně jako Spy.Agent.AES se pokouší odcizit přihlašovací údaje uživatelů uložené v prohlížečích. Navíc obsahuje funkci keyloggeru, který dokáže uložit seznam stisknutých kláves. Nashromážděná data pak odesílal útočníkům, kteří je monetizují na černém trhu. V České republice se FormBook v 65 % případů šířil v přílohách s názvem „nákupní objednávka.exe“.

„FormBook byl v září dost nevýrazný a nyní se vrací silnější. Zachytili jsme kampaň cílenou specificky na Českou republiku. Šíří se především ve škodlivých přílohách spamu. Většina útočných e-mailů je psaná v češtině, což dokazuje, že útočníci u nás chtějí uspět. Více než u nás zachytáváme FormBook v Turecku, kde útočníci také zneužívají lokalizované e-maily,“ vysvětluje Jirkal.

V praxi je možné FormBook i Spy.Agent.AES zakoupit na webových stránkách zločinců jako malware-as-a-service (MaaS). Kampaň si tak mohou zakoupit i začínající nebo technicky nezkušení útočníci. Ti zpravidla za poplatek získají svůj účet na serveru vývojáře malware, na který se pak odesílají nasbíraná data obětí. V některých případech poskytovatel MaaS zajistí i distribuci malware.

Do Česka se po delší době vrátil také malware Agent.FO, který zneužívá zranitelnost CVE-2017-11882 objevenou před třemi lety. Poprvé byl tento trojský kůň detekován v červenci 2020. Zneužívá bezpečnostní chybu ve starších verzích nástrojů Microsoft Office, jmenovitě komponentě Microsoft Equation Editor. Jde o nástroj pro práci s matematickými rovnicemi. Zmíněný exploit umožní spuštění libovolného programového kódu, poté co uživatel otevře škodlivý dokument.

„Tento malware útočí ve 14 % případů v Turecku a v 9 % v České republice. Jsme tak druhou nejvíce napadenou zemí. Dalšími cíli byly Filipíny a Polsko,“ říká Jirkal. „Agent.FO si uživatel stáhne z přílohy e-mailu. Jakmile je aktivní, získá útočník kontrolu nad systémem a možnost ho ovládat, pak může získat data, okrást oběť o finance nebo zařízení pro další útoky.“

Jmenovitě Agent.FO zneužívá zranitelnost zastaralých systémů, na kterou existují bezpečnostní opravy. Tyto aktualizace vydává Microsoft pravidelně a uživatelé si je ve svých zařízeních mohou instalovat zdarma.

„Doporučil bych uživatelům, aby se zaměřili na ochranu svých hesel. V žádném případě není dobré si je ukládat v prohlížečích, které jsou náchylné k útoku spywarem. Vhodné je naopak využívat speciální program pro správu hesel, takzvaný password manager,“ uzavírá Jirkal.

 

Nejčastější kybernetické hrozby v České republice za říjen 2020:

1.      MSIL/Spy.Agent.AES trojan (26,68 %)

2.      Win32/Formbook trojan (4,23 %)

3.      DOC/Agent.FO trojan (2,73 %)

4.      Win32/PSW.Fareit trojan (2,55 %)

5.      MSIL/Autorun.Spy.Agent.DF worm (2,20 %)

6.      Win32/Agent.TJS trojan (2,07 %)

7.      MSIL/Spy.Agent.CTW trojan (1,99 %)

8.      Win32/AutoRun.Delf.LV worm (1,84 %)

bitcoin školení listopad 24

9.      Win64/CoinMiner.AAP trojan (1,51 %)

10.   Java/Adwind trojan (1,41 %)