Pozor na malware, který zneužívá zranitelnost z roku 2017

Za třetinou říjnových hrozeb stál spyware, který se pokouší odcizit hesla. Jde o dlouhodobě nejvýraznější hrozbu pro české uživatele.

Nejčastější hrozbou byl Spy.Agent.AES. Tento trojský kůň se zaměřuje na odcizení hesel, které si uživatel uloží v prohlížeči. Díky kampani na začátku měsíce stál za čtvrtinou všech detekcí malware v České republice. Šířil se v přílohách škodlivých e-mailů. V září jsme zaznamenali textaci škodlivých e-mailů v českém jazyce, v říjnu byly v angličtině.

Podobným typem malware je trojský kůň Formbook. Stejně jako Spy.Agent.AES se pokouší odcizit přihlašovací údaje uživatelů uložené v prohlížečích. Formbook navíc obsahuje keylogger, který dokáže zaznamenat stisknuté klávesy. Nashromážděná data pak odesílá útočníkům, kteří je monetizují na černém trhu. V České republice se Formbook v 65 % případů šířil v přílohách s názvem „nákupní objednávka.exe“.

Oproti září registrujeme v říjnu výraznější detekce Formbook. Zachytili jsme kampaň cílenou specificky na Českou republiku. Malware se šíří především ve škodlivých přílohách spamu, které jsou psané většinou v češtině.

Malware si lze objednat

Oba zmíněné škodlivé kód si lze koupit jako malware-as-a-service (MaaS). Tím bývá služba zneužita i technicky nezkušenými útočníky. Ti zpravidla za poplatek získají svůj účet na serveru vývojáře malware, na který se pak odesílají sesbíraná data obětí. V některých případech vývojář malware zajistí i distribuci škodlivého kódu.

Pozor na chybějící aktualizace

Do Česka se od července 2020 vrátil také malware Agent.FO, který zneužívá zranitelnost CVE-2017-11882, bezpečnostní chybu ve starších verzích nástrojů Microsoft Office objevenou před třemi lety. Chyba umožňuje spuštění libovolného kódu po otevření dokumentu. Na tuto chybu ale již delší dobu existuje aktualizace. Aktualizace vydává Microsoft pravidelně a uživatelé si je ve svých zařízeních mohou instalovat zdarma.

Agent.FO si uživatel stáhne z přílohy e-mailu. Jakmile je agent aktivní, získá útočník kontrolu nad systémem a díky tomu tak může získat data, okrást oběť o finance nebo zneužít hostitelské zařízení pro další útoky.

Malware se v naprosté většině případů šíří v přílohách e-mailů.

Jak se chránit?

Před hrozbami se uživatelé mohou chránit proaktivně sami. Nedoporučujeme otevírat podezřelé e-mailové zprávy a stahovat přílohy od neznámých odesílatelů. Na našem blogu najdete podrobný manuál, jak poznat podezřelý e-mail. Důležité je zařízení také pravidelně aktualizovat a používat spolehlivý bezpečnostní program, který případný malware odhalí.

Je dobré se zaměřit na ochranu svých hesel. V žádném případě nedoporučujeme hesla ukládat v prohlížečích, které jsou náchylné k útoku spywarem. Vhodné je naopak využívat speciální program pro správu hesel neboli password manager. Ten bývá součástí některých bezpečnostních programů.

Firmy mohou pro zvýšení ochrany využít specializovanou službu označovanou jako Vulnerability assessment, která slouží pro vyhledání zranitelností v používaných systémech a aplikacích.

Nejčastější kybernetické hrozby v České republice za říjen 2020:

1. MSIL/Spy.Agent.AES trojan (26,68 %)
2. Win32/Formbook trojan (4,23 %)
3. DOC/Agent.FO trojan (2,73 %)
4. Win32/PSW.Fareit trojan (2,55 %)
5. MSIL/Autorun.Spy.Agent.DF worm (2,20 %)
6. Win32/Agent.TJS trojan (2,07 %)
7. MSIL/Spy.Agent.CTW trojan (1,99 %)
8. Win32/AutoRun.Delf.LV worm (1,84 %)
9. Win64/CoinMiner.AAP trojan (1,51 %)
10. Java/Adwind trojan (1,41 %)