Spyware v nové strategii zneužívá poznámkové soubory OneNote

Kromě osvědčené strategie v podobě nebezpečných e-mailových příloh zkouší útočníci obcházet zabezpečení novými metodami. Jaký je aktuální stav hrozeb pro operační systém Windows v Česku?
Tereza Malkusová
Total
0
Sdílení

Spyware Agent Tesla se v únoru objevil opět ve zhruba 15 procentech všech případů. Tentokrát byl v Česku aktivní především závěrem měsíce. Nejrozšířenější škodlivá e-mailová příloha, přes kterou se šířil, se jmenovala „IMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe“.

Bezpečnostní specialisté ale zaznamenali silné útoky už 21. února. Jejich ústředním škodlivým kódem však nebyl spyware Agent Tesla, ale spyware Formbook a downloader Agent.PLI.

Spyware Formbook se šířil přes e-mailovou přílohu s názvem „Booking Details!!.exe“. Cílem tak byli pravděpodobně uživatelé, kteří již v těchto měsících začali objednávat dovolené. Dalším typem útočícího malwaru byl Agent.PLI. V jeho případě se v Česku objevil nový trend v útočných kampaních – zasílání poznámkových dokumentů programu OneNote, které obsahují škodlivé skripty.

Agent.PLI měl nejčastěji podobu sdíleného dokumentu s názvem Invoice 575367.bat. Tuto metodu útočníci zkouší pravděpodobně kvůli zpřísňujícím se pravidlům pro posílání e-mailových příloh, a hledají možnosti, jak toto omezení obejít. Přílohy a dokumenty s příponami .exe. nebo .bat označují typy spustitelných programů v operačním systému Windows.

Bezpečnostní experti upozorňují uživatele, aby takové programy nikdy nespouštěli, pokud si nejsou jisti jejich původem, obsahem a funkcionalitami.

Nebezpečné e-mailové přílohy a dokumenty v únoru 2023

MalwareNázev přílohy
Spyware Agent TeslaIMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe
Spyware FormbookBooking Details!!.exe
Downloader Agent.PLIInvoice 575367.bat

Místo přílohy v e-mailu sdílené poznámky OneNote

Bezpečnostní specialisté opakovaně upozorňují, že útočníci budou mít letos velký zájem přehodnotit současné strategie a investovat do nových typů útoků. Útoky s použitím programu OneNote aktuálně slábnou a zdá se tedy, že úspěšné nebyly. Princip této strategie se ale určitě může znovu objevit.

Co o útoku prostřednictvím souborů OneNote říkají experti?

„Celkově byl útok velmi jednoduchý. V poznámkovém dokumentu s příponou .one bylo vloženo několik škodlivých .bat skriptů, které byly překryty obrázkem. Obrázek nabádal uživatele ke kliknutí a otevření dokumentu. Kliknutím na tento obrázek se spustil jeden ze škodlivých skriptů, který začal stahovat do zařízení další malware, nejčastěji z rodin Qbot, IceId, AgentTesla nebo RedLine,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Infostealery, mezi které nejčastěji detekované škodlivé kódy v operačním systému Windows spadají, jsou aktuálně jednou z největších hrozeb v Česku. Kybernetičtí útočníci je používají ke krádeži osobních dat uživatelů, a to nejčastěji uživatelských hesel. Nejvíce zranitelná jsou pak hesla ukládaná do internetových prohlížečů, které nejsou před útoky spywarem dostatečně zabezpečené.

Bezpečnostní specialisté tak uživatelům doporučují využívat tzv. správce hesel, programy, které hesla ukládají v zašifrované podobě. Správce hesel bývají také součástí kvalitních bezpečnostních programů, které uživatele před spywarem spolehlivě ochrání.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2023:

  1. MSIL/Spy.AgentTesla trojan (15,14 %)
  2. Win32/Formbook trojan (9,61 %)
  3. BAT/Agent.PLI trojan (3,54 %)
  4. Win32/PSW.Fareit trojan (1,96 %)
  5. MSIL/Spy.Agent.AES trojan (1,95 %)
  6. Win32/Shafmia trojan (1,43 %)
  7. BAT/Runner trojan (1,22 %)
  8. MSIL/Disdroth trojan (1,17 %)
  9. MSIL/Spy.RedLine trojan (1,15 %)
  10. Win32/Warzone trojan (1,01 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Novinky z magazínu Dvojklik.cz

Jednou měsíčně vám pošleme to nejbezpečnější čtení. Pohodlně. Do mailu.

Frekvence odesílání 1x měsíčně.
Snadné odhlášení jedním kliknutím.

Další informace o zpracování osobních údajů najdete v našich zásadách ochrany osobních údajů.

Mohlo by vás zajímat
české uživatele ohrožuje malware, který krade hesla z internetových prohlížečů

Ukládáte hesla do prohlížečů? Útočníci k jejich odcizení stále častěji využívají malware Fareit

Password stealer Fareit, který dokáže odcizit uživatelská hesla, se v červenci šířil přes nové verze škodlivých e-mailových příloh. V pravidelném měsíčním přehledu kybernetických hrozeb pro operační systém Windows v Česku se objevil mezi třemi nejčastějšími riziky.
Přečíst článek