V Česku se rozšířily útoky na uživatelská hesla, krade se, kde se dá

19. 5. 2020

Sdílet

 Autor: Fotolia © leowolfert
Přehledu nejčastějších hrozeb za měsíc duben v tuzemsku dominuje malware Spy.Agent.AES kradoucí různé typy prihlašovacích údajů – stojí za čtvrtinou všech detekcí.

Během velikonočních svátků byli Češi cílem významné spamové kampaně. Během ní útočníci šířili malware s cílem získat uživatelská hesla. Vyplývá to z pravidelného přehledu nejčastějších hrozeb v Česku, který připravuje Eset.

Nejčastější hrozbou v dubnu byl podle něj malware Spy.Agent.AES a to navzdory tomu, že jeho přítomnost od začátku roku postupně oslabovala. Souhra okolností v podobě oslabení výskytu dalších rodin malware a vlivu karantény na změnu v pracovních procesech, stál tento škodlivý kód za čtvrtinou útoků v České republice.

„Na tomto příkladu je názorně vidět, jak útočníci často fungují. S největší pravděpodobností se na začátku roku soustředili na přípravu  výrazné kampaně plánované na velikonoční svátky. Je poměrně běžné, že se na několik týdnů až měsíců odmlčí a vylepšují svůj škodlivý kód,“ vysvětluje Martin Jirkal, vedoucí analytického oddělení v Esetu.

Útočná kampaň Spy.Agent.AES využívala česky psaných spamových e-mailů. Malware se skrýval v příloze s názvem „kopie platby09886673.exe“. Po svém spuštění dokážou útočníci prostřednictvím tohoto škodlivého kódu získat hesla uložená v prohlížečích, dále hesla k e-mailovým a FTP klientům a ke komunikačním (chatovacím) službám.

Nárůst detekcí škodlivého kódu Spy.Agent.AES je ale výjimkou, přítomnost většiny typů malware nyní naopak oslabuje. Důvodem je pravděpodobně celosvětová pandemie COVID-19.

„Z dostupných informací a našich dat usuzujeme, že útočníci nyní revidují své kódy a připravují se na konec krize. Toto tvrzení podporuje i vyjádření některých autorů ransomwaru pro média, že během pandemie nebudou útočit vůbec,“ dodává Jirkal.

S výrazným odstupem skončil na druhém místě backdoor Rescoms. Ten napadá operační systém Windows. Je-li aktivní, dokáže například mazat soubory, stahovat a spouštět soubory, včetně dalšího malware.

„Útočníci prostřednictvím škodlivého kódu rovněž mohou modifikovat nastavení systému, zaznamenat údery kláves a odcizit tak citlivé údaje. Tento malware se pohybuje od začátku roku okolo 3% podílu na detekcích, s výjimkou března kdy oslabil na polovinu. Nepředpokládáme, že by tento malware výrazněji rostl. Rescoms se šíří taktéž e-mailem, a to v přílohách, které útočníci vydávají za faktury,“ tvrdí Jirkal.

Třetí nejčastější hrozbou byl podle něj trojský kůň Bladabindi. I tento malware má za úkol získávat od uživatele infikovaného zařízení citlivé údaje a hesla. Některé varianty dokážou také instalovat další malware. Bladabindi obsahuje funkci keyloggeru, sleduje tedy stištěné klávesy. Šíří se nejčastěji z infikovaných stránek nebo jej instalují jiné škodlivé kódy.

 

Dominantní e-mail

E-mail je obecně po celém světě nejběžnějším nástrojem k šíření škodlivého kódu. Experti proto apelují na uživatele, aby byli opatrní při otevírání příloh ve své e-mailové schránce.

„Obvykle jde o nějaký zdánlivě běžný dokument, jakým může být faktura či avízo od logistické společnosti, popř. spustitelný soubor s dvojitou koncovkou tvářící se jako dokument. Typickým chováním v případě MS Office dokumentů je při jejich spuštění požadavek na spuštění maker či povolení úprav. Pokud tak učiníte, malware dostane možnost se spustit, “ radí Jirkal.

 

ICTS24

Nejčastější kybernetické hrozby v České republice za duben 2020:

  1. Trojan.MSIL/Spy.Agent.AES (26,91 %)
  2. Backdoor.Win32/Rescoms (3,10 %)
  3. Trojan.MSIL/Bladabindi (2,32 %)
  4. Trojan.Win32/PSW.Fareit (2,19  %)
  5. Backdoor.MSIL/NanoCore (2,15 %)
  6. Backdoor.Java/Adwind (1,62 %)
  7. Trojan.MSIL/Spy.Agent.AUS (1,44 %)
  8. Trojan.Win32/Formbook (1,35 %)
  9. Win32/Floxif (1,29 %)
  10. Win32/Neshta (1,12 %)

 Zdroj: Eset, květen 2020