Od JS/CoinMiner k JS/Adware.Agent.AA

JS/CoinMiner se držel na první příčce mezi zachycenými online hrozbami až do června. První prázdninový měsíc jej vystřídala další potenciálně nechtěná aplikace JS/Adware.Agent.AA, která si drží prvenství mezi detekovanými škodlivými kódy dodnes. Jde o adware, který se do napadených zařízení stahuje společně s některými nástroji – například video přehrávači, manažery stahování souborů, PDF generátory – volně šířenými po internetu. Poté, co jsou nainstalovány, zobrazují například vyskakovací okna s reklamou, bannery a podobně. Pro jejich autory jsou zdrojem peněz, které plynou z reklamních prokliků.

Konkrétně JS/Adware.Agent.AA se šíří především prostřednictvím webů, které nabízí nelegální kopie filmů. Slibuje instalaci neoficiálního doplňku internetového prohlížeče, který má zrychlit práci s tímto prohlížečem, ale ve skutečnosti jej zpomalí. V době své největší „slávy“ v srpnu letošního roku stál JS/Adware.Agent.AA téměř za třetinou všech zachycených hrozeb, podobně jako v lednu JS/CoinMiner. Poté jeho podíl začal klesat a v závěru roku 2018 se dostal pod podíl 10 %. Během loňského roku nás ale potrápily i méně časté, zato nebezpečnější škodlivé kódy.

QRecorder vysával peníze z účtů

V září jsme upozornili na rizikovou mobilní aplikaci QRecorder, která se objevila v oficiálním obchodě Google Play. Tento oblíbený nástroj pro nahrávání hovorů se po jedné z aktualizací stal pro uživatele hrozbou, která umožňuje útočníkům vzdálený přístup do bankovního účtu napadeného uživatele. Jen v České republice tuto aplikaci používaly desítky tisíc uživatelů. Malware v telefonu čekal na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě něhož vykonal požadovanou aktivitu. V první fázi zjišťoval, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí se jednat pouze o bankovní aplikace.

Následně se do telefonu stáhl modul, který vytvořil neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímal přihlašovací údaje uživatele. Útočníci dále měli přístup k sms zprávám, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebránilo v tom, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí. Trojan cílil na uživatele, kteří měli přednastavenou českou, polskou či německou jazykovou lokalizaci operačního systému Android, což bylo poměrně neobvyklé.

První kód útočící na UEFI a bankovní vir BackSwap

V říjnu jsme objevili a analyzovali zřejmě první škodlivý kód, který infikuje UEFI, tedy moderní náhradu BIOSu v dnešních počítačích. Pojmenovali jsme ho LoJax a na základě několika znaků se domníváme, že za ním stojí nechvalně proslulá skupina Sednit. Ta stála podle amerického ministerstva spravedlnosti za útokem na Demokratický národní výbor ve Spojených státech krátce před prezidentskými volbami v roce 2016. Skupina je bezpečnostními experty rovněž spojována s únikem e-mailů ze Světové antidopingové agentury či za útoky na francouzskou televizní stanici TV5 Monde. V tomto aktuálním případě skupina útočila na vládní instituce ve státech střední a východní Evropy.

Krátce před Vánoci pak na české uživatele internetu zaútočil škodlivý kód BackSwap, který zneužíval škodlivé přílohy e-mailů, s jejichž pomocí útočníci dokázali změnit údaje platebního příkazu a zcizit peněžní částky až do výše 200 000 korun. BackSwap se šířil prostřednictvím přílohy „VydanaFaktura.zip“ nebo „VydanaFaktura.zip.rar“ a umožňoval obcházet dvoufaktorovou autentizaci, tedy potvrzení internetové platby pomocí jednorázového kódu zaslaného formou sms na mobilní telefon uživatele. Na účet bílého koně pak útočníci posílali částky od 60 000 do 200 000 korun, které pak jejich komplicové vybírali z bankomatů.

Máme tu na předních místech dvě hrozby, které si jsou zdánlivě velmi podobné, ale rozdíly tu samozřejmě jsou. JS/Adware.Agent.AA je javascript, který zobrazuje na webových stránkách reklamy, jež se snaží přimět uživatele ke stažení škodlivého doplňku do internetového prohlížeče. Nejčastěji se s nimi setkáváme na stránkách, kde jsou streamovány nelegální kopie filmů.

Naproti tomu s kódém pod označením HTML/Adware.Agent.A se nejčastěji setkáváme v podobě on-line dotazníku, za jehož vyplnění je uživateli slíben hodnotný produkt, například mobilní telefon. Tímto příslibem se snaží útočníci z uživatele získat takové údaje, které mohou dále použít k přímé či nepřímé monetizaci.

Zatímco adware zažívá na českém internetu boom, „těžební“ malwary, které dominovaly internetovým hrozbám v celé první polovině letošního roku, jsou již od začátku léta na ústupu.

Nejčastější škodlivý kód, který zneužívá výpočetního výkonu zařízení uživatele ke skryté těžbě kryptoměn, malware JS/CoinMiner, se v srpnu propadnul na třetí příčku nejčastějších online hrozeb. Jeho podíl oproti červenci klesl téměř o čtyři procentní body na 4,63 %.

Nejčastější internetové hrozby v České republice za srpen 2018:

1. JS/Adware.Agent.AA (32,3 %)
2. HTML/Adware.Agent.A (5,32 %)
3. JS/CoinMiner (4,63 %)
4. SMB/Exploit.DoublePulsar (3,71 %)
5. JS/Adware.AztecMedia (3,61 %)
6. HTML/FakeAlert (2,82 %)
7. HTML/ScrInject (2,6 %)
8. JS/Redirector (1,68 %)
9. Win32/GenKryptik (1,59 %)
10. Android/Agent.ASH (1,53 %)

Na druhé místo ustoupil malware JS/CoinMiner, který útočníci používají ke skryté těžbě kryptoměn a představoval 8,3 % zachycených útoků. Třetí pozice patřila dalšímu adwaru HTML/Adware.Agent.A s podílem 6,75 %.

Pokles jsme zaznamenali u backdooru SMB/Exploit.DoublePulsar. Ten napadá počítače s neaktualizovaným operačním systémem Windows a loni na jaře se podílel na šíření ransomwaru WannaCry. Zatímco letos v červnu představoval 5,35 % všech zachycených hrozeb, v červenci jeho podíl klesl na 4,91 % a zařadil se na čtvrté místo v žebříčku nejčastějších škodlivých kódů na českém internetu.

Nejčastější internetové hrozby v České republice za červenec 2018:

• JS/Adware.Agent.AA (10,57 %)
• JS/CoinMiner (8,3 %)
• HTML/Adware.Agent.A (6,75 %)
• SMB/Exploit.DoublePulsar (4,91 %)
• JS/Adware.AztecMedia (3,74 %)
• HTML/FakeAlert (3,53 %)
• JS/Redirector (3,25 %)
• Win32/GenKryptik (2,21 %)
• PDF/Fraud (2,12 %)
• Win32/Exploit.CVE-2017-11882 (1,84 %)

Javový skript JS/CoinMiner, který běží na pozadí internetových stránek a útočníci jej používají ke skryté těžbě kryptoměn při využití výpočetního výkonu napadených počítačů, zůstal i v únoru nejčastější internetovou hrozbou v České republice. Podíl této potenciálně nechtěné aplikace (PUA) na detekovaných škodlivých kódech ale oproti lednu klesl téměř na polovinu a představoval zhruba každý šestý zachycený incident (17,80 procenta), zjistil ESET v pravidelném měsíčním monitoringu virových hrozeb.

V porovnání se začátkem letošního roku jde o výrazný pokles, podíl JS/CoinMiner však nadále zůstává poměrně vysoký. Mezi nejčastějšími hrozbami se navíc drží i další dvě varianty CoinMineru, které se chovají jako trojany – Win32/CoinMiner a Win64/CoinMiner. Oba trojany zneužívají bezpečnostní chyby neaktualizovaných operačních systémů. Do infikovaných zařízení stahují škodlivý skript pro Windows Management Instrumentation (WMI), jehož prostřednictvím vytváří zadní vrátka. Ta umožní automatické spuštění těžby kryptoměn pokaždé, když dojde ke spuštění operačního systému napadeného zařízení.

Win32/CoinMiner se v únorové statistice internetových hrozeb dostal na osmou pozici s podílem 2,34 procenta, Win64/CoinMiner byl desátý s podílem 2,28 procenta. Druhou nejčastější únorovou hrozbou byl HTML/ScrInject, generická detekce programového kódu, který automaticky přesměrovává prohlížeč uživatele na stránky obsahující škodlivý software. Představoval 6,04 procenta všech únorových detekcí společnosti ESET.

Na třetí příčku mezi internetovými hrozbami se v únoru dostala potenciálně nechtěná aplikace JS/Adware.Agent.T, která zobrazuje nechtěné reklamy s nabídkou údajné aktualizace nebo stažení softwaru pro optimalizaci webového prohlížeče. Útočníkům může tento škodlivý kód generovat zisk z prokliku na reklamy. JS/Adware.Agent.T v únoru představoval 5,07 procenta zachycených škodlivých kódů.

Jaký byl podíl škodlivých kódů, které ESET v únoru zachytil v České republice?

• JS/CoinMiner (17,80%)
• HTML/ScrInject (6,04%)
• JS/Adware.Agent.T (5,07%)
• JS/Redirector (4,57%)
• HTML/Refresh (3,92%)
• SMB/Exploit.DoublePulsar (3,22%)
• JS/Adware.AztecMedia (3,22%)
• Win32/CoinMiner (2,34%)
• Java/Adwind (2,29%)
• Win64/CoinMiner (2,28%)

Nástup škodlivého kódu JS/CoinMiner byl velmi rychlý a zejména v samém závěru posledního měsíce loňského roku jeho aktivity výrazně zesílily. Za celý prosinec 2017 představoval JS/CoinMiner třetinu všech detekcí kybernetických hrozeb. Hrozba „těžebního“ trojanu ale nepolevila ani po Novém roce, ba právě naopak. První lednové dny dosahoval podíl JS/CoinMiner na detekcích téměř 50 procent.

JS CoinMiner přitom existuje ve dvou variantách

Tou častější je java skript, který běží na pozadí internetových stránek a využívá výpočetního výkonu uživatele k těžení kryptoměn. Ta druhá, méně častá, se chová jako trojan a zneužívá exploitu EternalBlue SMB vyvinutého americkou Národní bezpečnostní agenturou NSA.

Do zařízení proniká prostřednictvím neaktualizovaného operačního systému. Jakmile jej infikuje, stáhne do něj škodlivý skript pro Windows Management Instrumentation (WMI), který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. JS/CoinMiner ale zneužívá tento systém pro vytvoření trvalých zadních vrátek a zabezpečení automatického spouštění vždy, když dojde ke spuštění operačního systému.

Doporučené nástroje ochrany jsou kromě spolehlivého bezpečnostního softwaru i pravidelné aktualizace operačního systému Windows. Špionážní software EternalBlue totiž zneužíval zranitelnosti SMBv1, kterou Microsoft opravil krátce po zveřejnění této hrozby. Využívaly jí i další trojany, které loni v létě pomáhaly šířit nechvalně proslulý ransomware WannaCry. Určitě není ani od věci zakázat problémový protokol SMBv1, pokud ho nepoužíváte.

Co je to potenciálně nechtěná aplikace?

Srozumitelnou definici publikovali kolegové v naší servisní zóně. PUA jsou aplikace, které nepředstavují bezprostřední bezpečnostní riziko, ale přesto mohou mít negativní dopad na výkon a odezvu systému. Do systému se nejčastěji instalují po souhlasu uživatele, často jako toolbary či jiné doplňky.

V drtivé většině případů aplikace detekované jako potenciálně nechtěné v počítači nepotřebujete a není doporučena jejich instalace, protože mohou způsobovat: zobrazování nechtěných oken, aktivaci a běh skrytých procesů, zvýšenou spotřebu systémových zdrojů, změnu výsledků vyhledávání či komunikaci se servery vydavatele aplikace.