Tereza MalkusováBezpečnostní specialisté v dubnu zaznamenali nebývale silné útoky na české uživatele operačního systému Windows. Nejvíce na sebe tentokrát upozornily dva škodlivé kódy – Agent Tesla a nový malware Agent.QMG. Zejména v případě druhého malwaru využili útočníci v e‑mailové kampani velmi dobrou češtinu.
Spyware Agent Tesla se v Česku stále objevuje ve zhruba pětině všech zachycených útoků. Jen v dubnu se přitom jednalo o nezvykle velkou kampaň s tisíci zachycenými případy. Útočníci tentokrát komunikovali pouze v angličtině.
U malwaru Agent.QMG se jednalo o zcela odlišnou situaci. Pod tímto označením se ukrývá pokročilý a nebezpečný malware GuLoader. Jeho primární funkcí je stahovat do zařízení škodlivé kódy, a to jak známé infostealery Agent Tesla či Formbook, tak i další malware.
Oba útoky proběhly zhruba ve stejnou dobu, je ale možné, že spolu nesouvisely. Útočníci použili nejen rozdílné jazyky, ale mohou také oba škodlivé kódy bez větší námahy sehnat na černém trhu.
Spyware Agent Tesla s v dubnu nejčastěji objevoval pod přílohou s názvem “PURCHASE ORDER.exe”, zatímco malware Agent.QMG se nejčastěji šířil v e-mailu, který útočníci vydávali za obchodní nabídku z jedné italské firmy.
Útočníci nemění názvy příloh, ale mohou vylepšovat spyware
Ani v dubnu v Česku nechyběl spyware Formbook. Nejčastěji se objevoval pod nebezpečnou přílohou se španělským názvem „Nuevo orden.pdf.exe“. V několika případech se objevil také v příloze „nákupní objednávka pdf xxx2021.exe“.
Útoky spywaru Formbook již nebyly tak silné jako u předchozích dvou škodlivých kódů. Příloha s českým názvem „nákupní objednávka“ se objevovala již v dřívějších útočných kampaních, rozhodně to ale neznamená, že by byl spyware nyní již méně nebezpečný. Pod starým názvem se může ukrývat plně aktualizovaný, a tudíž velmi nebezpečný škodlivý kód.
Infostealery, mezi které spywary Agent Tesla i Formbook spadají, využívají kybernetičtí útočníci ke krádeži uživatelských dat, především hesel. Ty pak mohou prodat na černém trhu nebo využívat k dalším útokům k prolomení přístupu do účtů uživatelů.
| Malware | Název přílohy |
|---|---|
| Spyware Agent Tesla | PURCHASE ORDER.exe |
| Spyware Formbook | Nuevo orden.pdf.exe nákupní objednávka pdf xxx2021.exe |
Jedno heslo pro jeden účet
Útoky na hesla jsou jednou z největších kybernetických hrozeb v Česku. Hlavním motivem většiny kybernetických útoků současnosti je finanční zisk, a právě uživatelská hesla lze v případě nelegálního prodeje velmi dobře zpeněžit.
Uživatelé by při ochraně před spywarem neměli ukládat svá hesla do internetových prohlížečů, které nejsou před útoky řádně zabezpečené. Posloužit jim mohou naopak takzvaní správci hesel, programy, které ukládají hesla v zašifrované podobě.
Dále z pohledu kybernetické bezpečnosti určitě platí: jedno heslo pro jeden účet. Pokud se útočníci přeci jen dostanou k nějakému našemu heslu, budou jím pravděpodobně zkoušet prolomit i jiné účty, a to zkrátka proto, že využívání stejných hesel je poměrně časté a útočníci to moc dobře vědí. Každé heslo by mělo být také dostatečně složité.
S vytvořením dostatečně silného hesla vám může pomoct Generátor hesel. Pro lepší zapamatování je vhodná také heslová fráze, tedy nějaká dobře zapamatovatelná věta, která dává smysl jen vám.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2023:
- MSIL/Spy.AgentTesla trojan (21,62 %)
- VBS/Agent.QMG trojan (11,82 %)
- Win32/Formbook trojan (3,15 %)
- Win32/PSW.Fareit trojan (2,99 %)
- VBS/Agent.QXB trojan (2,10 %)
- MSIL/Spy.Agent.AES trojan (2,00 %)
- BAT/Runner trojan (1,44 %)
- WinGo/Rozena trojan (1,22 %)
- Win32/Qhost trojan (0,97 %)
- Win32/Rescoms trojan (0,90 %)
Uživatelé produktů ESET jsou před těmito hrozbami chráněni.
Lucie Mudráková
