Neočekávaná faktura v e-mailu může obsahovat škodlivý kód

Největší útok spywaru Agent Tesla proběhl v České republice 3. října. Cílem útočníků, kteří tento škodlivý kód ve svých útočných kampaních využívají, jsou uživatelská hesla. Zranitelná a snadno dostupná jsou pak především hesla uložená v internetových prohlížečích. Počet zachycených případů spywaru Agent Tesla dosahoval i v říjnu zhruba pětiny všech detekcí.

Útočníci tentokrát zvolili strategii, ve které se zaměřili na země ve střední a jihovýchodní části Evropy a na Turecko. Česká republika byla přitom čtvrtou nejvíce zasaženou zemí.

Spyware se dlouhodobě šíří prostřednictvím nebezpečných e-mailových příloh. Často mají podobu spustitelného souboru s příponou .exe. Útočníci se snaží přimět uživatele ke spuštění či stažení takového souboru tím, že přílohy vydávají za dokumenty k platbám, faktury či potvrzení od přepravních společností. Na spyware Agent Tesla jsme tak mohli v říjnu narazit především v e-mailu s česky pojmenovanou přílohou Zpusob_platby, jpg.exe.

Souvisely spolu všechny říjnové útoky?

V počtu kolem desetiny všech detekcí se v říjnu objevily také další známé škodlivé kódy, a to password stealer Fareit a spyware Formbook.

Password stealer Fareit byl nejvíce aktivní ve dnech 11. až 12. října. Útočníci své útoky nepřizpůsobili českým uživatelům a nejčastěji jsme tak mohli narazit na infikovanou přílohu s názvem Enquiry&Specification.exe.

Spyware Formbook se v útocích objevoval stejně jako Agent Tesla 3. října a stejně jako password stealer Fareit 11. října. Podle bezpečnostních expertů může jeho chování ukazovat na jistou provázanost všech říjnových útoků.

Není nic neobvyklého, že si jeden útočník nebo skupina útočníků na černém trhu koupí více typů různého malwaru a pak je ve svých útocích souběžně využívá. V případě spywaru Formbook se nejčastěji objevovaly přílohy s názvy DHL Notification_pdf.exe či Potvrzení_platby,png.scr. Právě druhá jmenovaná příloha má velmi nápadnou podobnost s přílohou, která se objevila v útocích spywarem Agent Tesla.

Hesla v hledáčku kyberútočníků

Agent Tesla je v českém prostředí dlouhodobou hrozbou a bezpečnostní specialisté nepředpokládají, že by se tato situace měla v následujícím období výrazně měnit. Uživatelská hesla jsou cennou komoditou, kterou mohou útočníci velmi dobře zpeněžit, což je dnes hlavním motivem většiny kybernetických útoků.

„Uživatelé si často mohou říct, že se vlastně nic tak strašného nestane, když jim někdo z internetového prohlížeče odcizí heslo například do nějakého internetového obchodu, kde nemají žádné uložené peníze ani platební kartu. Často ale nevědí, co se s hesly a přihlašovacími údaji, které jsou většinou ve formě e-mailu, děje dál. Útočníci mohou naše další účty zkusit prolomit kombinací stejného přihlašovacího jména a hesla, tzv. credential stuffingem. Z našich průzkumů a zkušeností přitom víme, že stále dost uživatelů opravdu stejná hesla používá u více různých účtů. A samozřejmě to vědí také útočníci,“ říká Martin Jirkal z ESETu.

Věnujte proto v tomto období větších online nákupů pozornost nevyžádané a podezřelé e-mailové komunikaci. S bezpečnou správou hesel vám mohou pomoci třeba správci hesel, specializované programy, které hesla ukládají v zašifrované podobě a automaticky je doplňují při přihlášení do konkrétního online účtu. A vy si pamatujete pouze jedno heslo, a to pro přístup do tohoto programu. Správce hesel lze pořídit jako samostatný software, nebo jako součást prémiového bezpečnostního řešení.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za říjen 2022:

1. 1. MSIL/Spy.AgentTesla trojan (19,18 %)
   2. Win32/PSW.Fareit trojan (12,12 %)
   3. Win32/Formbook trojan (9,26 %)
   4. MSIL/Spy.Agent.AES trojan (3,79 %)
   5. VBS/Agent.QJA trojan (3,60 %)
   6. Win32/Delf.NBX virus (2,53 %)
   7. VBS/Agent.QJV trojan (1,55 %)
   8. DOC/Agent.IS trojan (1,43 %)
   9. Win32/Rescoms trojan (1,10 %)
   10. VBS/Agent.QKF trojan (0,86 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.