Již dřívější závěry kyberbezpečnostních expertů se tak potvrzují – konec roku 2024 znamenal pravděpodobně dlouhodobější změny v rozložení škodlivých kódů, které útočníci využívají ve svých kampaních.

Infostealer Formbook shromažďuje data ze schránky zařízení, stisky na klávesnici, snímky obrazovky i z mezipaměti prohlížeče. Podobně jako spyware Agent Tesla jsou jeho častým cílem také uživatelská hesla.  Jeho autoři jej prodávají na různých neoficiálních fórech dalším útočníkům a tím přispívají k jeho masovému rozšíření.

Typicky se šíří v podobě škodlivé přílohy v phishingovém e-mailu. I závěrem loňského roku měly tyto e-mailové přílohy nejčastěji podobu faktur nebo potvrzení o zásilkách jedné známé přepravní služby.

Aktuální malware cílí na přihlašovací údaje

Závěrem loňského roku začal výrazně slábnout spyware Agent Tesla, který si jistě zaslouží označení jednoho z nejdéle přítomných škodlivých kódů v České republice. Podle bezpečnostních expertů se objevují informace, že autor tohoto spywaru již nechce pokračovat v jeho vývoji. Očekávají tak, že i nadále bude slábnout až postupně ze statistiky zmizí úplně.

Bezpečnostní experti pak v otázkách obrany mají jasno: Bez ohledu na to, který infostealer se právě objevuje ve statistice nejčastěji, je důležité chránit svá data pomocí kvalitních bezpečnostních nástrojů a mít se na pozoru při čtení elektronické pošty.

Infostealery představují nezanedbatelné riziko pro naše přihlašovací údaje. Proto je rozhodně nedoporučují ukládat do počítače ani do internetových prohlížečů, které nemusí být před tímto typem útoků dostatečně zabezpečené. Vhodnou ochranou jsou v tomto případě správci hesel, programy specializované pro šifrované ukládání a bezpečnou správu našich přihlašovacích údajů.

Jak chráníte vaše prohlížení internetu?

Bezpečně můžete prohlížet web s VPN.
Ta je součástí našich řešení. 

VYZKOUŠET

Hesla si nemusíme pamatovat z hlavy

Skoro pětina českých uživatelů a uživatelek hodnotí bezpečnost svých hesel na základě toho, že si je dobře pamatují. Dobře zapamatovatelná hesla však nemusí být dostatečně složitá a snadno se mohou stát terčem útočníků, kteří je bez obtíží prolomí. Nejčastěji si hesla pamatujeme právě z hlavy, zatímco specializovaný program pro správu našich hesel využívá jen část z nás.

Základem bezpečného nakládání s hesly je rozhodně využívat vždy jedno unikátní heslo pro každý svůj online účet. Pokud se útočníci jednoho z nich zmocní, nedostanou se tak do dalších účtů. A oni to rozhodně zkusí. Slouží jim k tomu například automatizované útoky.

Pro lepší správu svých hesel můžete tvořit namísto nahodilého shluku různých znaků i tzv. heslové fráze. Typicky se jedná o nějakou větu, která dává smysl jen vám a dobře se vám pamatuje.

Vyvarujte se jen známých textů z písní a hlášek z filmů. Všechna svá hesla opatřete také dalším faktorem ověření – kódem z SMS nebo ze spárované ověřovací aplikace.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za prosinec 2024:

1. Win32/Formbook trojan (14,66 %)
2. PowerShell/Agent.CCC trojan (3,85 %)
3. MSIL/Spy.AgentTesla trojan (3,52 %)
4. Win32/Expiro virus (2,88 %)
5. Win64/Rozena trojan (2,55 %)
6. MSIL/Spy.Agent.AES trojan (2,37 %)
7. Win32/Fynloski trojan (2,18 %)
8. Win32/PSW.Fareit trojan (1,90 %)
9. MSIL/Agent.CLQ trojan (1,37 %)
10. Win32/Rescoms trojan (1,26 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Útočníci opět vsadili na český název e-mailové přílohy, která tentokrát nesla označení faktura 2021NOV-INV_IX_08799.exe. Kampaně vedené v češtině tak potvrzují, že Česká republika patří i nadále k jejich hlavním cílům. Věrohodný název přílohy může uživatele zmást, aby ve chvíli nepozornosti soubor z e-mailové zprávy spustil.

Malware ukrývá také příloha s názvem účtenka

V českém prostředí se dlouhodobě objevuje i spyware Formbook. Stejně, jako v případě spywaru Agent Tesla, se i tento malware zaměřuje na uživatelská hesla uložená v internetových prohlížečích.

V říjnu byl spyware Formbook vysoce aktivní. Česká republika byla po Japonsku, Turecku a Španělsku čtvrtou zemí, na kterou se útočníci celosvětově zaměřili. Největší aktivitu zachytili bezpečnostní experti 29. října.

Česká republika byla po Japonsku, Turecku a Španělsku čtvrtou zemí, na kterou se útočníci celosvětově zaměřili.

I v tomto případě byla zdrojem malwaru e-mailová příloha s českým názvem Účtenka.exe. Pro všechny spustitelné soubory s příponou .exe platí následující doporučení. Pokud obdržíte soubor od neznámého zdroje nebo e-mailem, za žádných okolností ho nespouštějte.

Pokud obdržíte soubor s příponou .exe od neznámého zdroje e-mailem, za žádných okolností ho nespouštějte.

Password stealer Fareit, který byl v říjnu třetí nejčastější hrozbou v Česku, svou aktivitu oproti minulému měsíci nezvýšil. Šířil se anglicky psanými e-maily, ve kterých se útočníci vydávali za pracovníky zásilkových společností.

Pomůže správce hesel i dvoufaktorové přihlašování

Uživatelská hesla jsou v České republice nejohroženějšími citlivými údaji a bezpečnostní specialisté opakovaně radí, jak jejich odcizení zabránit.

Důležité je neukládat hesla do prohlížečů, které nejsou v tomto ohledu řádně zabezpečené. Vítanou pomocí může být například správce hesel. Jedná se o speciální program, ve kterém jsou hesla uložená v šifrované podobě.

Neukládejte svá hesla do prohlížečů, nejsou řádně zabezpečené.

Další možností, jak zvýšit bezpečnost přihlašování, je zapnutí dvoufázového ověření. Tento princip je známý z elektronického bankovnictví nebo sociálních sítí. Součástí prevence jsou také pravidelné aktualizace a instalace bezpečnostního programu.

Nejčastější kybernetické hrozby v České republice za říjen 2021:

1. MSIL/Spy.AgentTesla trojan (32,79 %)
2. Win32/Formbook trojan (23,03 %)
3. Win32/PSW.Fareit trojan (2,72 %)
4. DOC/Agent.GU trojan (2,49 %)
5. Win32/Rescoms trojan (0,84 %)
6. MSIL/ClipBanker trojan (0,76 %)
7. Win64/Farfli trojan (0,65 %)
8. MSIL/Agent.CFQ trojan (0,64 %)
9. MSIL/Spy.Agent.DFY trojan (0,55 %)
10. BAT/CoinMiner.ARV trojan (0,54 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Naši analytici zjistili, že objem hrozeb se zvyšoval v závislosti na změnách ve společnosti a vyhlášených preventivních opatřeních.

Po zpřísnění opatření vždy přibylo phishingových útoků

Nejvýraznějším rizikem v Česku jsou dlouhodobě hrozby šířící se e-maily, zejména spam a phishing. Počet detekcí phishingu narostl v porovnání s rokem 2019 přibližně o 100 %.

Phishing je typ útoku, který se snaží vylákat z oběti osobní údaje nebo hesla.

Je zřejmé, že útočníci reagují na společenské změny (jako je zavedení nouzového stavu, rozvolnění opatření) a podle nich spouštějí své kampaně. Z grafu námi zachyceného phishingu je vidět, že během první vlny začali šířit své hrozby intenzivněji, naopak během letního rozvolnění omezili svou aktivitu.

V přílohách třetiny škodlivých e-mailů detekujeme skripty VBA, v pětině pak infikované dokumenty. Je proto nutné si dávat pozor na podezřelé přílohy e-mailů.

Podobně jako vývoj phishingových kampaní vypadala intenzita distribuce malware. Ačkoli jsme byli svědky výrazných výkyvů, v obecné rovině evidujeme mírný nárůst. Dominují především trojské koně kradoucí hesla, spyware a tzv. backdoory, které umožní na dálku ovládat zařízení.

Jaké hrozby lze očekávat do konce roku?

Před Vánocemi přibývá různých typů podvodů. Letošní rok nebude výjimkou. Útočníci tentokrát sází na to, že lidé více nakupují online a jsou méně pozorní.

Očekáváme další nárůst phishingových útoků a spamu. Běžným podvodem jsou například falešné faktury za “nakoupené” zboží nebo podvodné zprávy od různých dopravců, tedy zprávy, na které jsou lidé při shánění vánočních dárků online zvyklí.

Jelikož již nyní rostou ceny kryptoměn, budou zřejmě vzrůstat pokusy o jejich nelegální těžbu nebo o útoky, které manipulují s adresami kryptopeněženek. V našich datech evidujeme vyšší výskyt bankovních trojských koní určených pro mobilní telefony. V této oblasti apelujeme na uživatele, aby nepodceňovali zabezpečení svých mobilních zařízení.

Jak se chránit před nejnovějšími hrozbami?

Doporučujeme především aktualizovat jak operační systém, tak všechny programy a aplikace v zařízení. Výjimkou by neměl být ani bezpečnostní program. ESET pravidelně vydává na podzim aktualizovanou verzi svých programů rozšířenou o nové moduly, které reagují na nejnovější hrozby nebo posilují ochranu před těmi stávajícími. Aktuální programy ESET mají číslo 14. Jaké novinky jsme připravili?

Určitě vám doporučujeme zvýšenou opatrnost při platbách online, používání silných a unikátních hesel pro každou službu zvlášť by mělo být samozřejmostí. Rizikové je ukládání hesel v prohlížečích, spíše dejte přednost správcům hesel.

Od srpna počet detekcí této hrozby klesá, byť zatím stále zůstal na předních místech v našich statistikách.

Nejčastější hrozby pro vás shrnul ve videu Michal Filipin:

Google se pouští do boje proti stalkerware

Domníváme se, že za poklesem detekcí stojí výrazný tlak bezpečnostních společností a Googlu, který vede vývoj systému Android. V září navíc vydala společnost k dané problematice oznámení o programových zásadách, které jsou platné od října 2020.

Tvůrci aplikace nově nesmějí například prezentovat své řešení jako aplikaci určenou ke špehování, maskovat ani skrývat sledovací funkce nebo musí být možné aplikace zřetelně identifikovat pomocí jedinečné ikony. Nová pravidla vývojáře těchto aplikací velmi pravděpodobně na nějaký čas zpomalí.

Úplný zánik mobilní stalkerware očekávat nelze. Přinejmenším bude dostupný mimo oficiální obchod.

Cerberus a Guardian nadále obsadily přední příčky statistiky

Nejčastější hrozbou pro české uživatel zůstal stalkerware Cerberus. Jedná se o aplikaci z neoficiálního zdroje. Vývojáři ji propagují jako nástroj pro případ krádeže a službu rodičovské kontroly. Pomocí SMS příkazů dokáže tato aplikace zapnout Wi-Fi, přečíst SMS, smazat některé údaje či sledovat polohu. Zároveň je možné tuto aplikaci skrýt v systému, což společně se vzdálenými příkazy odporuje pravidlům oficiálního obchodu. Proto aplikaci na Google Play stáhnout nelze.

Hrozbou byla, stejně jako v předchozích měsících, také předinstalovaná sada nástrojů  Guardian. Tyto sledovací nástroje jsou součástí aplikací v levných telefonech z Číny.

Novinkou v statistice českých hrozeb je malware Traca, jedná se o knihovnu funkcí, které dokáží sledovat zařízení. Knihovna se v systému skrývá. Tvůrci Traca zneužívají legitimní GPS sledovací software Traccar.

Jak se před stalkerware chránit?

Většinu mobilního malware si uživatel do zařízení stáhne sám v aplikaci  z neoficiálního zdroje , která má na první pohled zcela legitimní funkci. Za oficiální zdroj aplikací lze považovat výhradně obchod Google Play. Jeho správci dlouhodobě aktivně pracují na co nejkvalitnějším zabezpečení a eliminaci všech potenciálních rizik.

Mimoto doporučujeme uživatelům, aby si do svých telefonů nainstalovali i spolehlivý bezpečnostní program, který odhalí i hrozby při prohlížení internetu, v e-mailech a další.

Kybernetické hrozby pro platformu Android v České republice za září 2020:

1. Application.Android/Monitor.Cerberus (3,17 %)
2. Application.Android/Monitor.Traca (1,72 %)
3. Application.Android/Monitor.Guardian (1,67 %)
4. Trojan.Android/Agent.BPO (1,65 %)
5. Application.Android/Monitor.Androidlost (1,58 %)
6. Trojan.Android/Agent.CAM (1,29 %)
7. Trojan.Android/Agent.BZF (1,22 %)
8. Trojan,Android/TrojanDropper,Agent,CJM (1,20 %)
9. Trojan.Android/Spy.SmsSpy.PD (1,18 %)
10. Trojan.Android/TrojanDropper.Agent.FRE (1,13 %)

Na první příčce se umístil Agent.BPO, který byl v únorů až na čtvrtém místě. Tento malware se dokáže před uživatelem skrýt jako komponenta uživatelského rozhraní. Agent.BPO dokáže ovládat aplikace pro prohlížení internetu, modifikovat URL adresy, instalovat další malware. V Česku ale především zobrazuje reklamu.

 Reklama nepředstavuje přímou hrozbu, ale omezuje komfort při používání infikovaného zařízení.

Pokud se vám v zařízení zobrazuje hodně reklamy, doporučujeme nainstalovat důvěryhodný bezpečnostní software určený pro mobilní zařízení a spustit detekci.

Reklamy zobrazuje i druhá nejčastější hrozba – Hiddad.VH. Všechny typy malwaru Hiddad jsou celosvětově nejrozšířenějším rizikem pro mobilní zařízení s operačním systémem Android. V České republice stojí přibližně za pětinou všech detekcí.

Hiddad.VH zobrazuje reklamu skrytým způsobem. Běžný uživatel tak obtížně zastaví její zobrazování.

Na třetí příčce se v březnu umístil backdoor Triada. Jeho hlavní funkcionalitou je šíření reklamy a spamu. Nejnovější verze ovšem dokáží také modifikovat SMS zprávy. Ty lze zneužít pro obejití ochrany online bankovnictví.

Většinu malware si uživatel stáhne nevědomky spolu s aplikací, která působí legitimním dojmem, často z neoficiálního obchodu. Doporučujeme proto aplikace stahovat výhradně z oficiálního obchodu Google Play a používat renomovaný bezpečnostní software, který potenciální riziko včas odhalí.

Spy.Agent.AUS patří to stejné rodiny jako Spy.Agent.AES, který dominoval našim statistikám celý loňský rok. Varianta, kterou jsme zachytili nyní, má ale mnohem více funkcí. Některé z těchto funkcí útočí na hesla ke službám, které se využívají při práci na dálku, ať už jde o e-maily a komunikační služby či FTP servery, kde firmy ukládají sdílená data.

Tento trojský kůň se šíří prostřednictvím spamu. Malware si uživatel stáhne s přílohou s názvem „Coronavirus Disease (COVID-19) CURE.exe“, která slibuje lék na COVID-19. Spamový e-mail  existuje zatím pouze v angličtině. Na druhém místě se umísil trojský kůň Fareit. Útočníci jej zneužívají k odcizení hesel z internetových prohlížečů Chrome, Firefox, Opera či Internet Explorer. Od ledna se šíří přílohou spamů v češtině. Ještě loni byly  podvodné e-maily pouze v angličtině. Nicméně podle našich analytiků jsou e-maily dost jednoduché a pozorný uživatel si nesrovnalostí všimne například podle špatného strojového překladu.

Stabilně se na třetím místě drží backdoor Adwind. Jakmile je aktivní, je schopen odcizit informace o uživateli, nebo je možné zařízení uživatele zneužít k distribuci dalšího škodlivého kódu. Adwind napadá různé operační systémy.

Jak se chránit před malwarem ve spamu?

Experti apelují na uživatele, aby byli opatrní při otevírání příloh ve své e-mailové schránce. Obvykle se jedná o nějaký běžný dokument, ať už je to faktura, nacenění či dodejka.

E-mail je obecně po celém světě nejběžnější nástroj k šíření škodlivého kódu

Typické je, že při spuštění požaduje soubor povolení maker či úprav. Pokud tyto povolíte, malware se spustí. Útočníci sice experimentují s češtinou, ale zprávy obsahují stále řadu chyb. Ochrání vás tedy vlastní pozornost nebo kvalitní bezpečnostní software, který nestandardní chování zachytí.

Adware z rodiny Hiddad zobrazuje reklamu skrytým způsobem, takže uživatel není schopen určit, odkud reklama přichází a jak se jí zbavit. Ačkoli adware samotný nepředstavuje přímé riziko, snižuje výrazně komfort při používání napadeného zařízení.

Na adwaru útočník vydělává na úkor uživatele.

Jak je možné, že existuje tolik různých modifikací jednoho  adwaru? Útočníci od sebe navzájem kupují škodlivý kód, který si pak upravují podle svých potřeb a dál šíří. Mnoho uživatelů mobilních telefonů vnímá reklamu jako nutné zlo a případnou infikaci zařízení neřeší, což je patrně důvod, proč se reklamnímu malwaru tolik daří.

Druhým častým rizikem byl v únoru backdooor Qysly. Ten dokáže pro útočníky získat osobní údaje, zašifrovat telefon nebo instalovat další reklamní malware.

Třetí příčku obsadil TrojanDropper.Agent.COM. Jedná se o malware typu dropper. Jeho úkolem je do zařízení nenápadně instalovat další malware. Tento konkrétní instaluje adware z rodiny Hiddad.

Jak se před adwarem chránit?

Mobilní malware se nejčastěji šíří v aplikacích z neoficiálních zdrojů a fór. Proto doporučujeme stahovat aplikace výhradně z oficiálního obchodu Google Play a používat renomovaný bezpečnostní software, který potenciální riziko včas odhalí.

Chcete mít jistotu, že je váš telefon zabezpečený? Přečtěte si také článek 9 bezpečnostních tipů pro smartphony.

Kyberútočníci chtějí vydělávat. Pokud nějaký typ malware přestane vynášet, přeorientují se jiný.

Únorové zlato si „získal“ trojský kůň Fareit. Útočníci jej zneužívají k odcizení hesel z internetových prohlížečů Chrome, Firefox, Opera či Internet Explorer. Od ledna se šíří přílohou spamů v češtině. Ještě loni byly  podvodné e-maily v angličtině. Názvy příloh a textace e-mailu se přizpůsobuje aktuální poptávce služeb, v únoru se tak vydávali například za cenové nabídky, jedna z příloh se jmenovala například „Žádost o nabídku 06-01-2020.pdf.exe“.

E-maily mají jednoduchou slovní stavbu a pozorný uživatel si všimne nesrovnalostí, například podle špatného strojového překladu.

Na druhé místo se od loňského měsíce posunul backdoor Adwind. Jakmile je tento malware aktivní, je schopen odcizit informace o uživateli nebo je možné zařízení uživatele zneužít k distribuci dalšího škodlivého kódu. Adwind má řadu specifik – napadá například různé operační systémy nebo to, že se podařilo vystopovat původ na Blízkém Východě.

Na třetí místo klesl již zmíněný trojský kůň Spy.Agent.AES. Útočníci jej zneužívali k získání hesel uložených v internetových prohlížečích. Výrazný ústup pozorujeme od přelomu roku. V prosinci stál za desetinou útoků. V lednu klesl o polovinu a v únoru stál jen za necelými čtyřmi procenty.

Je zajímavé, že hrozby na předních příčkách výrazně nerostou. Fareit se drží dlouhodobě okolo 5 % podílu na detekcích, Adwind okolo 3-4 %.

Nejčastěji se malware šíří e-mailem

Všechny zmíněné typy malware mají společný způsob napadaní zařízení – tedy e-mail, přesněji infikované přílohy. Doporučujeme, aby byli uživatelé obezřetní při otevírání jakýchkoli zpráv od neznámých odesílatelů a nainstalovali si důvěryhodný bezpečnostní program.

Malware se u nás šíří nejčastěji spamem. Buďte opatrní při otevírání nezvyklých zpráv.

Spy.Agent se šíří především e-mailem v rámci spamových kampaní. Nově se útočníci snaží skrývat malware jako zprávu od zásilkových společností. Doposud napodobovali spíše zprávy od finančních institucí, které obsahovaly infikované falešné faktury v příloze. Jedná se ale o velmi efektivní metodu. Zprávu ze zásilkové služby uživatelé ze zvědavosti otevírají, a to i i v případě e-mailu v angličtině.

Útočníci experimentují s češtinou

Pomyslné stříbro získal v lednu trojský kůň Fareit. Ten zneužívají útočníci k odcizení hesel z internetových prohlížečů Chrome, Firefox, Opera či Internet Explore. V polovině ledna začali operátoři Fareitu útočit pomocí e-mailových zpráv v češtině. Malware se šířil v infikovaných přílohách s názvy jako „Cenová poptávka 2019.pdf.exe“ apod.

Třetí nejčastější hrozbou je backdoor Adwind. I v jeho případě se útočníci pokoušejí využívat češtinu. Zaznamenali jsme například infikovanou přílohu s názvem Návrh _CZ_5884_DB_2017-09-11_ filtroval _CZ.jar. Útočníci jsou ale méně pečliví – všimněte si, že v názvu přílohy zůstal rok 2017.

Adwind je specifický svou multiplatformitou, tedy faktem, že útočí na různé operační systémy. Jakmile je backdoor aktivní, je schopen odcizit informace o uživateli, nebo je možné zařízení uživatele zneužít k distribuci dalšího škodlivého kódu.

Výše zmíněné hrozby míří na nepozorné uživatele. Buďte proto obezřetní při otevírání jakýchkoli zpráv od neznámých odesílatelů, zejména pak před otevřením příloh.