Bezpečnostní specialisté ale zaznamenali silné útoky už 21. února. Jejich ústředním škodlivým kódem však nebyl spyware Agent Tesla, ale spyware Formbook a downloader Agent.PLI.

Spyware Formbook se šířil přes e-mailovou přílohu s názvem „Booking Details!!.exe“. Cílem tak byli pravděpodobně uživatelé, kteří již v těchto měsících začali objednávat dovolené. Dalším typem útočícího malwaru byl Agent.PLI. V jeho případě se v Česku objevil nový trend v útočných kampaních – zasílání poznámkových dokumentů programu OneNote, které obsahují škodlivé skripty.

Agent.PLI měl nejčastěji podobu sdíleného dokumentu s názvem Invoice 575367.bat. Tuto metodu útočníci zkouší pravděpodobně kvůli zpřísňujícím se pravidlům pro posílání e-mailových příloh, a hledají možnosti, jak toto omezení obejít. Přílohy a dokumenty s příponami .exe. nebo .bat označují typy spustitelných programů v operačním systému Windows.

Bezpečnostní experti upozorňují uživatele, aby takové programy nikdy nespouštěli, pokud si nejsou jisti jejich původem, obsahem a funkcionalitami.

Nebezpečné e-mailové přílohy a dokumenty v únoru 2023

Místo přílohy v e-mailu sdílené poznámky OneNote

Bezpečnostní specialisté opakovaně upozorňují, že útočníci budou mít letos velký zájem přehodnotit současné strategie a investovat do nových typů útoků. Útoky s použitím programu OneNote aktuálně slábnou a zdá se tedy, že úspěšné nebyly. Princip této strategie se ale určitě může znovu objevit.

Infostealery, mezi které nejčastěji detekované škodlivé kódy v operačním systému Windows spadají, jsou aktuálně jednou z největších hrozeb v Česku. Kybernetičtí útočníci je používají ke krádeži osobních dat uživatelů, a to nejčastěji uživatelských hesel. Nejvíce zranitelná jsou pak hesla ukládaná do internetových prohlížečů, které nejsou před útoky spywarem dostatečně zabezpečené.

Bezpečnostní specialisté tak uživatelům doporučují využívat tzv. správce hesel, programy, které hesla ukládají v zašifrované podobě. Správce hesel bývají také součástí kvalitních bezpečnostních programů, které uživatele před spywarem spolehlivě ochrání.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2023:

1. MSIL/Spy.AgentTesla trojan (15,14 %)
2. Win32/Formbook trojan (9,61 %)
3. BAT/Agent.PLI trojan (3,54 %)
4. Win32/PSW.Fareit trojan (1,96 %)
5. MSIL/Spy.Agent.AES trojan (1,95 %)
6. Win32/Shafmia trojan (1,43 %)
7. BAT/Runner trojan (1,22 %)
8. MSIL/Disdroth trojan (1,17 %)
9. MSIL/Spy.RedLine trojan (1,15 %)
10. Win32/Warzone trojan (1,01 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Spyware Spy.Agent.AES, který se v srpnu nejčastěji šířil, se zaměřuje na odcizení hesel. Tento škodlivý kód obsahuje funkce, které proskenují internetové prohlížeče nebo například mailové schránky Microsoft Outlook, Mozilla Thunderbird nebo Yandex. Kód aktivně vyhledává uložené přihlašovací údaje, které následně odesílá útočníkům.

Tento škodlivý kód obsahuje funkce, které proskenují internetové prohlížeče nebo mailové schránky Microsoft Outlook, Mozilla Thunderbird nebo Yandex.

České uživatele tak mohl na konci srpna překvapit e-mail s přílohami v portugalštině a španělštině. Zahraniční kampaně v českém prostředí nejsou nijak běžné a Česká republika mezi cílovými státy nebývá. Cizojazyčná příloha tak mohla uživatele varovat dopředu, že se pravděpodobně jedná o spam a riziko pro jejich zařízení.

Osobní údaje, například e-mailové adresy, a citlivé údaje, třeba hesla, jsou pro útočníky velmi ceněné zboží. Odcizené údaje proto skládají do rozsáhlých databází, které dále prodávají. Velmi často je zneužívají k další kriminalitě.

Většinu útoků lze koupit

V případě spyware se jedná o velmi dostupný škodlivý kód, který si lze na darknetu pronajmout. Kyberzločin je tak dostupný stále většímu počtu lidí, a to i těm, kteří nemají tolik zkušeností, aby dokázali vytvořit vlastní malware. Je možné si pronajmout škodlivý kód, jeho distribuci i úložiště, kam se odešlou odcizená hesla. Taková služba je známá pod termínem malware-as-a-service.

Je možné si pronajmout škodlivý kód, jeho distribuci i úložiště, kam se odešlou odcizená hesla.

Vedle spyware zůstává nadále varování před trojským koněm Formbook, časová osa se u obou hrozeb v srpnu překrývala. Útoky byly v tomto případě vedeny v angličtině a útočníci se vydávali za zástupce dopravní společnosti. S mírným poklesem byl třetí nejčastější hrozbou password stealer Fareit, který neměl v srpnu žádnou významnější e-mailovou kampaň.

Uživatele ochrání správce hesel a vlastní obezřetnost

Hesla jsou v České republice dlouhodobě hlavním terčem kybernetický útoků. Databáze s hesly jsou totiž pro útočníky komodita, kterou lze snadno a rychle zpeněžit. Protože se malware šíří zejména e-maily, je na místě především opatrné používání elektronické pošty. Doporučujeme podezřelé zprávy vůbec neotvírat a rovnou je mazat či přesouvat do spamu.

Databáze s hesly jsou totiž pro útočníky komodita, kterou lze snadno a rychle zpeněžit.

Se správou hesel a jejich zabezpečením pomůže i password manager. Hesla ukládá v šifrované podobě a tím se stávají pro útočníky nezneužitelná. Password manager je součástí prémiových anti-malware řešení. Kompromisem může být i mnemotechnická pomůcka, kdy si uživatel hesla pamatuje a nikam je nezadává. Taková hesla jsou ale zpravidla slabší.

Síla hesla má přitom v boji proti jejich zneužití velkou roli. Silné heslo by totiž mělo odolat také počítačovým pokusům o uhádnutí, tzv. slovníkovým útokům, během kterých útočník zkouší objemný seznam hesel ve snaze prolomit přístupy uživatele. Nejvhodnější je používat spíše delší kombinace různých znaků nebo několikaslovné fráze. Optimální je tvořit si unikátní přístupy pro každou službu, což ale dělá jen třetina Čechů.

Dalším krokem k vyššímu zabezpečení přihlašování je zapnutí dvoufaktorové autentizace, kdy uživatel každé přihlášení potvrzuje v aplikaci nebo kódem z SMS.

Nejčastější kybernetické hrozby v České republice za srpen 2021:

1. MSIL/Spy.Agent.AES trojan (36,57 %)
2. Win32/Formbook trojan (15,10 %)
3. Win32/PSW.Fareit trojan (6,59 %)
4. VBA/Agent.AAB trojan (1,70 %)
5. WinGo/RanumBot trojan (1,47 %)
6. MSIL/Spy.Agent.DFY trojan (0,97 %)
7. Win64/Farfli trojan (0,89 %)
8. Win32/Delf.NBX virus (0,86 %)
9. Win32/Agent.TJS trojan (0,83 %)
10. BAT/CoinMiner.ARV trojan (0,66 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Základní informace pro vás shrnul Michal ve video zpravodaji:

V průběhu celého května jsme zachytili několik intenzivních kampaní těchto škodlivých kódů. Útočníci se zaměřují na hesla, protože jdou snadno zpeněžit na černém trhu.  Spyware se navíc zcela běžně nabízí na fórech útočníků jako služba k pronájmu. Méně zkušený útočník si tak snadno zakoupí škodlivý kód, jeho distribuci i úložiště, kam si uloží odcizená data, a pak jen vydělává jejich prodejem.

Malware se skrýval ve falešných fakturách a dokumentech

Nejčastěji jsme v květnu detekovali malware Spy.Agent.AES, který stál za necelou čtvrtinou útoků. Minulý měsíc byl pro tento škodlivý kód rekordní. Šířil se spamem, nejčastěji v příloze s názvem FAKTURA.exe. Útočil ve dvou výraznějších kampaních 18. a 31. května.  Jde o typický password stealer, jakmile je aktivní, vyhledá v nainstalovaných prohlížečích uložená hesla a odesílá je útočníkům.

Podobně se šířila i druhá nejběžnější hrozba – malware Formbook. S jediným rozdílem: infikovaná příloha nesla zkomolený název FACTURA.exe. Významnější kampaně proběhly ve dnech 3. a 18. května.  Jde o poměrně stabilní hrozbu, pohybuje se mezi deseti a dvacetiprocentním podílem na detekcích.

Na třetí pozici skončil trojský kůň Fareit. Od dubna, kdy stál za celou čtvrtinou útoků v Česku, ale znatelně oslabil. Fareit se šíří infikovanými přílohami s názvy, které zneužívají jméno renomované české banky. Stejně jako předchozí typy využívá příponu .exe a jedná se tedy o spustitelný program. Větší kampaně jsme zachytili 6. a 11. května.

Soubory .exe představují riziko

V květnu se nejčastěji malware šířil soubory s koncovkou.exe, které útočníci vydávali za obyčejné dokumenty. Operační systém Windows ve výchozím nastavení koncovky souborů skrývá, což může být pro uživatele matoucí.

Je velice důležité, aby uživatelé k přílohám od neznámých odesílatelů přistupovali obezřetně a raději neotevírali nedůvěryhodné zprávy. Na podvodný soubor v příloze vás upozorní také bezpečností program.

Nejčastější kybernetické hrozby v České republice za květen 2021

1. MSIL/Spy.Agent.AES trojan (21,66 %)
2. Win32/Formbook trojan (16,02 %)
3. Win32/PSW.Fareit trojan (5,75 %)
4. PHP/Webshell trojan (2,94 %)
5. MSIL/NanoCore trojan (2,19 %)
6. Win32/PSW.Agent.OJQ trojan (1,33 %)
7. Win32/PSW.Delf.OSF trojan (1,18 %)
8. Win32/Rescoms trojan (1,08 %)
9. MSIL/Autorun.Spy.Agent.DF worm (1,07 %)
10. WinGo/RanumBot trojan (0,90 %)

Zásadní novinky pro vás shrnul Michal v našem video-zpravodaji:

Terčem jsou hesla v prohlížečích

Nejzávažnější hrozbou co do počtu detekcí byl Fareit. Jde o typický password stealer. Zaměřuje se na přihlašovací údaje, které si uživatel uloží v prohlížeči kvůli automatickému přihlašování. Dokáže je najít ve všech populárních prohlížečích.

Zachytili jsme dokonce specifickou kampaň cílenou speciálně na Českou republiku, která probíhala 6. dubna. Tvůrci Fareitu nesázejí na jedinou podvodnou zprávu, ale využívají několik e-mailů v různých jazykových verzích, kterými škodlivý kód šíří. Stáhnout jej šlo z příloh, jejichž názvy kombinují jména existujících společností a generického dokumentu například „FIRMA a.s.-Swift-01-04-2021scan.exe“.

Útoky jsou na prodej

Na druhém místě skončil Spy.Agent.AES (známý také jako Agent-Tesla). Ten je ve světě rozšířenější, detekujeme jej také v Turecku, Chorvatsku, Japonsku, Španělsku a Portugalsku.

Jakmile je Spy.Agent.AES aktivní, skenuje prohlížeče a útočníkům odesílá přihlašovací údaje k online službám. V dubnu jsme zachytili dvě intenzivní kampaně a to 6. a 14. dubna. Podle dat se malware objevoval především v příloze „FAKTURA.exe“.

Na třetí příčce skončil neméně závažný password stealer Formbook. I v tomto případě jsme zachytili cílené kampaně na Česko ve dnech 6. a 12. dubna. Škodlivý kód se šířil v přílohách s názvy „Image001.exe“ a „TT COPY.exe“ nebo v přílohách, které mimikovaly bankovní dokumenty.

Všechny tři hrozby je možné koupit na darkwebu. Útočníci si mohou koupit i celý balíček – tedy virus, distribuci i úložiště, odkud si jen stáhnou ukradená data. Je proto prakticky nemožné tuto hrozbu zcela vymýtit.

Prevencí je péče o hesla

Malware si uživatel zpravidla stáhne do počítače z infikované přílohy. Proto doporučujeme kriticky přistupovat ke všem nezvyklým zprávám ve vaší e-mailové schránce. Minulý měsíc se hrozby vyskytovaly v souborech s koncovkou .exe, což značí spustitelný soubor (zpravidla tedy program).

Zranitelná jsou především hesla uložená v prohlížečích.

Operační systém Windows někdy tuto koncovku skrývá a spustitelný program .exe, tak může vypadat například jako neškodný dokument. Proto je nutné využívat na všech zařízeních spolehlivý bezpečnostní program, který problémový soubor (ať už je jakýkoli) zachytí.

Útočníci se zaměřují na hesla, která jsou uložená v prohlížečích, proto doporučujeme instalovat si správce hesel. Můžete jej využívat v rámci antivirového programu nebo jako samostatnou službu.

Pokud je to možné, zapněte si dvoufaktorové ověření pomocí aplikace či kódu v SMS, kdykoliv je to možné. Neméně důležité je dbát na to, aby samotné heslo bylo odolné. Přečtěte si podrobný návod, jak takové heslo vytvořit.

Firmám, které používají mnoho systémů a aplikací se může vyplatit najmout odborníky pro vyhledání zranitelností a bezpečnostních chyb. Specializovanou službu nabízí většina společností, které se zabývají počítačovou bezpečností (např. ESET Vulnerability assessment).

Nejčastější kybernetické hrozby v České republice za duben 2021

1. Win32/PSW.Fareit trojan (24,88 %)
2. MSIL/Spy.Agent.AES trojan (16,98 %)
3. Win32/Formbook trojan (12,63 %)
4. MSIL/Bladabindi trojan (3,42 %)
5. PHP/Webshell trojan (2,50 %)
6. MSIL/CoinMiner.BIP trojan (2,22 %)
7. BAT/CoinMiner.ARV trojan (0,81 %)
8. MSIL/Autorun.Spy.Agent.DF worm (0,78 %)
9. Win32/AutoRun.Delf.LV worm (0,76 %)
10. Java/Adwind trojan (0,73 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Zásadní novinky pro vás shrnul Michal v našem video-zpravodaji.

Útočníci cílili na Česko

V pětině případů jsme detekovali Fareit. Na konci měsíce jsme zachytili několik intenzivních kampaní zaměřených primárně na Českou republiku. Fareit se šířil infikovanými e-maily, které útočníci vydávali za zprávy z renomovaných českých organizací, škodlivý kód se skrýval v přílohách s názvy jako „Ceskasporitelna, a.s.Swift_260321_scan.exe“ a „HESTEGO a.s._Swift-01-04-2021scan.exe“.

Koncovka .exe značí spustitelný program, měla by být varovným signálem.

Infikované e-maily ale nebyly příliš popracované, obsahovaly například fráze: „Náš klient nás požádal o zaslání kopie přiložené platby převodem na váš e-mail.” nebo “Potvrďte přijetí a podle toho radte.”

Hesla jsou cenná komodita

Pomyslné stříbro získal Spy.Agent.AES. Šíří se e-maily především v anglickém jazyce. Jakmile je aktivní dokáže uložené přihlašovací údaje sbírat a posílat je útočníkům. S odcizenými hesly se zpravidla obchoduje na černém trhu. Ceny se pohybují v řádech stovek až tisíců korun za jediný údaj podle toho, jaká data přihlašovací údaje chrání.

Třetí nejčastější hrozbou byl Formbook. Jedná se také o password stealer, který krade hesla.  Je typický tím, že jej poměrně běžně pronajmout jako službu na tzv. darknetu.  Technicky méně zdatný útočník si může zaplatit, za přístup ke škodlivému kódu, distribuci i úložiště.  Kupující tak získá databázi přihlašovacích údajů, které může dále zneužít nebo sám prodat.

Jak chránit hesla před password stealery?

Hesla jsou velmi důležitým bezpečnostním prvkem, chrání vaše data i soukromí. Důležitá je jejich tvorba, unikátnost i to, jak je uchováváte.

Silné heslo je takové, které není možné prolomit hrubou silou v dostatečně krátkém čase, aby se takový útok útočníkům vyplácel.

Existují dvě základní možnosti, jak vytvořit silné heslo. Můžete si vytvářet dlouhý řetězec znaků kombinující malá a velká písmena, číslice i speciální znaky nebo si tvořit heslové fráze, které obsahují jen velká a malá písmena, ale jsou o to delší. Tyto fráze si lze například vytvářet tak, aby tvořily jakýsi stručný příběh, který se uživateli dobře pamatuje.

Útočníci, kteří stojí za password stealery, se zaměřují na hesla uložená v prohlížečích. Proto nedoporučujeme ukládat hesla v počítači, ale ukládat je v šifrované podobě ve speciálním program tzv. správci hesel. Ten je součástí i některých antivirových programů.

Dalším krokem, který zvyšuje bezpečnost je využívání dvoufaktorového ověření. Jde o ověření přihlášení pomocí kódu v SMS, nebo potvrzením v aplikaci. Běžně jej známe z bank. Dvoufaktorové ověření doporučujeme zapnout, kdykoliv je to možné.

Součástí prevence by měly být pravidelné aktualizace operačního systému i všech programů, včetně internetového prohlížeče. Důležité je také využívat bezpečnostní program, který podobný škodlivý kód dokáže spolehlivě odhalit.

Nejčastější kybernetické hrozby v České republice za březen 2021:

1. Win32/PSW.Fareit trojan (22,73 %)
2. MSIL/Spy.Agent.AES trojan (16,59 %)
3. Win32/Formbook trojan (10,93 %)
4. MSIL/Bladabindi trojan (3,57 %)
5. Win32/Rescoms trojan (2,09 %)
6. BAT/CoinMiner.ARV trojan (1,21 %)
7. Win32/AutoRun.Delf.LV worm (1,05 %)
8. Java/Adwind trojan (0,85 %)
9. MSIL/Autorun.Spy.Agent.DF worm (0,71 %)
10. Win32/Agent.TJS trojan (0,64 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.