Poslední velkou aktivitu tohoto spywaru jsme zaznamenali v červnu, kdy se jeho detekce vyšplhaly téměř ke třetině všech zachycených případů. Pak počet detekcí začal klesat a srpnové hodnoty nedosáhly ani sedmi procent. Dá se tak říct, že za sebou máme klidný závěr léta.

Jak ale bezpečnostní experti upozorňují – je nutné počítat s tím, že po tak výrazném útlumu se již v příštích měsících můžeme setkat se silnějšími a inovovanými útočnými kampaněmi.

V srpnu se tak v útocích více objevovaly spywary Formbook a Agent.AES. Bezpečnostní specialisté zachytili především infikované přílohy s anglickými názvy, které útočníci tentokrát nepřekládali do češtiny.

Nejčastější e-mailové přílohy v srpnu 2024

Spyware sbírá informace o naší identitě

Dlouhodobá přítomnost spywaru v Česku není dána jen mírou jeho úspěšnosti, ale také tím, že je to oblíbený nástroj v rukou útočníků. Škodlivé kódy, které se obecně využívají ke krádežím uživatelských dat, přístupových údajů a hesel, jsou rozšířené i díky tomu, že taková data a údaje mají dnes velkou cenu na černém trhu.

Hlavním motivem většiny kybernetických útoků je finanční zisk. Odcizené údaje a data útočníci dále přeprodávají a ty pak slouží k jiným útokům. Mohou je například využít tak, že zkusí dosazovat zjištěná přihlašovací jména a hesla k přihlášení do účtů řady populárních služeb. Bezpečnostní experti proto opakovaně apelují na uživatele, aby měli pro každý svůj online účet vždy unikátní heslo, které pak již znovu nepoužijí.

Cílem je co nejvíce účtů odcizit a dále je zneužít nebo je opět prodat.

Uživatelská hesla přitom nejsou jediným cílem spywaru. Zaměřuje se také na informace o našem chování na internetu či o našem zařízení. Jsou to například informace o spouštěných aplikacích, otevíraných souborech a času, který na něm trávíme. Na základě těchto údajů si může útočník vytvořit celý profil své oběti a odcizit například i její identitu.

Zdrojem spywaru bývají škodlivé spustitelné soubory s příponou .exe, kterou však řada uživatelů a uživatelek nemusí vůbec postřehnout. Škodlivé soubory mohou mít koncovky dvě, přičemž ta dobře viditelná často vytváří dojem, že se jedná o nezávadný dokument v programu MS Word, ve formátu PDF nebo o obrázek.

Štít, přes který se hackeři nedostanou

Předcházejte malware díky jedinému řešení. ESET
spolehlivě ochrání vaše zařízení i data. 

VYZKOUŠET

Škodám můžeme předejít svou ostražitostí

Jak bezpečnostní experti upozorňují, obrana před spywarem by měla být složena z několika jednotlivých kroků a jako uživatelé k ní musíme přistupovat z různých úhlů. Na začátku by měla být rozhodně naše obezřetnost.

„Spyware se šíří kromě e-mailových příloh také v různých aplikacích a souborech, na které můžeme narazit na veřejných internetových úložištích nebo fórech. Svou bezpečnost tak může každý z nás podpořit tím, že budeme ostražití v případě nevyžádaných zpráv od neznámých uživatelů, nebo v případě komunikace, která bude vyvolávat dojem naléhavosti a vzbuzovat v nás například strach. V nevyžádaných zprávách bychom nikdy neměli otevírat přiložené soubory, stahovat je do zařízení a klikat na odkazy. Pokud se rozhodneme stáhnout si nějakou aplikaci nebo program mimo oficiální stránky a obchody, je důležité myslet na to, že si vždy stáhneme i něco, co v zařízení mít nechceme. Ať už se bude jednat třeba jen o zdánlivě neškodnou reklamu, nebo právě o spyware,“ říká Martin Jirkal z ESETu.

Kvalitní bezpečnostní software je pak další pojistkou pro případy, kdy přes všechnu opatrnost stáhneme malware do svého počítače. Konkrétně v případě škodlivých e-mailů vytvoří program bezpečnou složku, do které detekovanou hrozbu přesune. My si pak můžeme e-mail ve složce v případě zájmu prohlédnout a pak jej smazat.

Pokud bezpečnostní program rozpozná škodlivý kód v nějakém souboru, dokáže spuštění souboru zablokovat a přesunout ho do tzv. karantény, o čemž nás opět vždy informuje.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za srpen 2024:

1. Win32/Formbook trojan (10,12 %)
2. MSIL/Spy.Agent.AES trojan (9,59 %)
3. MSIL/Spy.AgentTesla trojan (6,96 %)
4. MSIL/Agent.DWN trojan (6,79 %)
5. Win32/Rescoms trojan (3,84 %)
6. Win32/PSW.Fareit trojan (2,71 %)
7. Win64/ShellcodeRunner trojan (2,57 %)
8. Win64/Agent.EHX trojan (1,90 %)
9. Win64/Agent.ECK trojan (1,50 %)
10. Java/Adwind trojan (1,47 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Podívejte se na shrnutí nejčastějších hrozeb v České republice za září:

Nebezpečí ukrývaly e-maily v češtině

V srpnu se mohli čeští uživatelé setkat s nevyžádanými e-maily s přílohami v portugalštině a španělštině. V září se pak útočníci vrátili k češtině. Uživatel tak nemusel nebezpečí na první pohled postřehnout a nebezpečnou přílohu mohl otevřít.

V září se útočníci vrátili k češtině a uživatel tak nemusel nebezpečí na první pohled postřehnout.

Uživatelé v e-mailech během zářijových útoků viděli povědomé soubory jako Skenovat kopii_003931738187_24_09_2021.exe nebo Kopie dokladu o transakci_14_09_2021.exe. Samotná e-mailová zpráva byla úplně bez textu, nebo obsahovala pouze výzvu k potvrzení. To mohlo uživatele alespoň částečně varovat.

Vždy ověřujte odesílatele e-mailu

Stejně jako u spywaru Agent Tesla, tak i v případě druhého nejčastějšího malwaru Formbook hrály roli česky psané e-maily. Formbook se objevil na začátku a koncem září. Jednalo se o česky psané e-maily s přílohou Detaily účtu.exe.

Většina uživatelů soubor s příponou .exe zná a ví, že těmito soubory se spouští nějaká konkrétní aplikace. Z bezpečnostních důvodů ale nadále platí, že byste neměli soubory spouštět, pokud je obdržíte z neznámého zdroje nebo e-mailem, u kterého neznáte odesílatele.

Nespouštějte soubory, které obdržíte z neznámého zdroje nebo e-mailem od neznámého odesílatele.

Pokud přijde uživateli podezřelý e-mail s přílohami do firmy, měl by se obrátit na bezpečnostní autoritu v dané společnosti, zpravidla IT specialistu, který je v tomto směru informován a k dispozici.

Nakonec se v září prostřednictvím e-mailů šířil také třetí nejčastější malware, password stealer Fareit. Ačkoli je nyní tento typ spywaru na ústupu, stejně jako v předešlých případech se ukrýval v e-mailových přílohách. Útočníci je vydávali za zprávy od dopravce nebo platební příkaz z banky.

Klíčem k ochraně jsou především silná hesla

Malware, který se v září nejčastěji šířil českým prostředím, aktivně vyhledává uložené přihlašovací údaje, které následně odesílá útočníkům. A právě hesla jsou v České republice dlouhodobě hlavním terčem kybernetických útoků.

Nejlepším doporučením pro uživatele je neukládat si hesla do prohlížečů. Ke správě hesel existují speciální programy zvané password managery. Ty ukládají hesla v šifrované podobě, takže je potenciální útočník nedokáže zneužít.

Velmi spolehlivou ochranou před odcizením citlivých údajů je silné heslo. Doporučeným postupem při tvorbě hesel je využívat delší kombinace různých znaků nebo několikaslovné fráze a mít pro každou službu unikátní přístupy.

Dalším krokem k vyššímu zabezpečení přihlašování je zapnutí dvoufaktorové autentizace, kdy uživatel každé přihlášení potvrzuje v aplikaci nebo kódem z SMS. Na místě je také opatrnost při používání elektronické pošty, protože malware se šíří nejčastěji e-maily. Podezřelé zprávy by uživatelé neměli vůbec otevírat, ale rovnou mazat nebo přesouvat do spamu.

Nejčastější kybernetické hrozby v České republice za září 2021:

1. MSIL/Spy.Agent.AES trojan (45,57 %)
2. Win32/Formbook trojan (14,42 %)
3. Win32/PSW.Fareit trojan (2,30 %)
4. WinGo/RanumBot trojan (1,18 %)
5. Win32/Agent.TJS trojan (0,94 %)
6. Win32/Delf.NBX virus (0,86 %)
7. MSIL/NanoCore trojan (0,78 %)
8. BAT/CoinMiner.ARV trojan (0,76 %)
9. MSIL/Spy.Agent.DFY trojan (0,65 %)
10. Java/Adwind trojan (0,65 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Zásadní novinky pro vás shrnul Michal v našem video-zpravodaji:

Terčem jsou hesla v prohlížečích

Nejzávažnější hrozbou co do počtu detekcí byl Fareit. Jde o typický password stealer. Zaměřuje se na přihlašovací údaje, které si uživatel uloží v prohlížeči kvůli automatickému přihlašování. Dokáže je najít ve všech populárních prohlížečích.

Zachytili jsme dokonce specifickou kampaň cílenou speciálně na Českou republiku, která probíhala 6. dubna. Tvůrci Fareitu nesázejí na jedinou podvodnou zprávu, ale využívají několik e-mailů v různých jazykových verzích, kterými škodlivý kód šíří. Stáhnout jej šlo z příloh, jejichž názvy kombinují jména existujících společností a generického dokumentu například „FIRMA a.s.-Swift-01-04-2021scan.exe“.

Útoky jsou na prodej

Na druhém místě skončil Spy.Agent.AES (známý také jako Agent-Tesla). Ten je ve světě rozšířenější, detekujeme jej také v Turecku, Chorvatsku, Japonsku, Španělsku a Portugalsku.

Jakmile je Spy.Agent.AES aktivní, skenuje prohlížeče a útočníkům odesílá přihlašovací údaje k online službám. V dubnu jsme zachytili dvě intenzivní kampaně a to 6. a 14. dubna. Podle dat se malware objevoval především v příloze „FAKTURA.exe“.

Na třetí příčce skončil neméně závažný password stealer Formbook. I v tomto případě jsme zachytili cílené kampaně na Česko ve dnech 6. a 12. dubna. Škodlivý kód se šířil v přílohách s názvy „Image001.exe“ a „TT COPY.exe“ nebo v přílohách, které mimikovaly bankovní dokumenty.

Všechny tři hrozby je možné koupit na darkwebu. Útočníci si mohou koupit i celý balíček – tedy virus, distribuci i úložiště, odkud si jen stáhnou ukradená data. Je proto prakticky nemožné tuto hrozbu zcela vymýtit.

Prevencí je péče o hesla

Malware si uživatel zpravidla stáhne do počítače z infikované přílohy. Proto doporučujeme kriticky přistupovat ke všem nezvyklým zprávám ve vaší e-mailové schránce. Minulý měsíc se hrozby vyskytovaly v souborech s koncovkou .exe, což značí spustitelný soubor (zpravidla tedy program).

Zranitelná jsou především hesla uložená v prohlížečích.

Operační systém Windows někdy tuto koncovku skrývá a spustitelný program .exe, tak může vypadat například jako neškodný dokument. Proto je nutné využívat na všech zařízeních spolehlivý bezpečnostní program, který problémový soubor (ať už je jakýkoli) zachytí.

Útočníci se zaměřují na hesla, která jsou uložená v prohlížečích, proto doporučujeme instalovat si správce hesel. Můžete jej využívat v rámci antivirového programu nebo jako samostatnou službu.

Pokud je to možné, zapněte si dvoufaktorové ověření pomocí aplikace či kódu v SMS, kdykoliv je to možné. Neméně důležité je dbát na to, aby samotné heslo bylo odolné. Přečtěte si podrobný návod, jak takové heslo vytvořit.

Firmám, které používají mnoho systémů a aplikací se může vyplatit najmout odborníky pro vyhledání zranitelností a bezpečnostních chyb. Specializovanou službu nabízí většina společností, které se zabývají počítačovou bezpečností (např. ESET Vulnerability assessment).

Nejčastější kybernetické hrozby v České republice za duben 2021

1. Win32/PSW.Fareit trojan (24,88 %)
2. MSIL/Spy.Agent.AES trojan (16,98 %)
3. Win32/Formbook trojan (12,63 %)
4. MSIL/Bladabindi trojan (3,42 %)
5. PHP/Webshell trojan (2,50 %)
6. MSIL/CoinMiner.BIP trojan (2,22 %)
7. BAT/CoinMiner.ARV trojan (0,81 %)
8. MSIL/Autorun.Spy.Agent.DF worm (0,78 %)
9. Win32/AutoRun.Delf.LV worm (0,76 %)
10. Java/Adwind trojan (0,73 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Vývoj malware pro vás shrnul Michal ve videu:

Fakt, že spyware zůstane nejsilnějším malware, jsme predikovali. Přihlašovací údaje mají pro útočníky značnou hodnotu a čile s nimi obchodují na černém trhu. Například přihlašovací údaje k bankovnictví lze prodat až za 1 500 korun, k e-mailové schránce Google až za 3 500 Kč.

Odcizená hesla umožňují šířit další malware, ukrást identitu, nebo získat finanční prostředky obětí.

V lednu stál spyware za třetinou útoků. Zachytili jsme intenzivní jednodenní kampaň malware Spy.Agent.AES cílenou na uživatele v České republice, která byla spuštěna 21. ledna. Na začátku roku vydávají útočníci spam za zprávy z obchodů, různá shrnutí objednávek nebo návrhy rozpočtů. Do těchto spamů vkládají infikované přílohy, jejichž názvy mění tak, aby tematicky odpovídaly aktuální situaci.

Spyware se šíří e-maily

Uživatelé si malware stáhnou zpravidla nevědomky sami většinou z infikovaných příloh e-mailů. Ty obsahují spustitelné soubory .exe nebo o soubory s dvojitou koncovkou .pdf.exe. Tento typ souborů stačí otevřít, aby se malware nainstaloval.

V lednu jsme spyware zachytili jak v anglicky, tak v česky psaných e-mailech. Například trojský kůň Spy.Agent.AES šířil především přílohou s názvem „PARTS REQUEST SO_30005141.exe“; Formbook pak v příloze s označením „nákupní objednávka.exe“.

Cílem jsou hesla uložená v prohlížečích pro automatické vyplňování

Nejčastěji jsme detekovali trojské koně Spy.Agent.AES a Formbook. V obou případech se jedná o spyware. Společné mají také to, že jejich kód lze koupit na darknetu jako tzv. „službu“. Technicky méně zdatní útočníci si tak mohou kód pronajmout, stejně jako úložiště pro odcizená hesla i samotnou distribuci, bez toho, aby cokoli z toho nějak ovládali.

Dalším běžným spyware u nás je Fareit. Společně s předešlými má stejný modus operandi. Jakmile je malware aktivní, prochází nainstalované prohlížeče a stahuje z nich přihlašovací údaje, které si uživatel uložil pro automatické vyplňování. Hesla jsou totiž často uložená v čitelné podobě, bez jakéhokoli šifrování. Ukradená data pak malware posílá útočníkům na vzdálený server.

Jak bezpečně ukládat hesla

Hesla představují první obranný val našich dat online, proto si zaslouží výjimečnou pozornost. Silné heslo by mělo mít alespoň 12 znaků, přičemž doporučujme využívat malá i velká písmena, číslovky a speciální znaky.  Alternativou náhodného shluku znaků jsou heslové fráze z několika slov. Fráze mohou tvořit nějaký stručný příběh, který si lze dobře zapamatovat.

Rozhodně nedoporučujeme hesla ukládat v prohlížečích, ani v souboru v počítači. Pokud si hesla nepamatujete, pořiďte si specializovaný správce hesel. Jde o program, který hesla ukládá bezpečně a zašifrovaně. Bývá i součástí některých anti-malware programů.

Bezpečnost přihlašování zvyšuje také dvoufaktorové ověření. Za druhý faktor se považuje SMS kód nebo například ověření pomocí speciální aplikace. Ověřovat takto můžete přihlášení do online bankovních služeb, e-mailových schránek nebo sociálních sítí.

Nejčastější kybernetické hrozby v České republice za leden 2021:

1. MSIL/Spy.Agent.AES trojan (23,22 %)
2. Win32/Formbook trojan (5,53 %)
3. Win32/PSW.Fareit trojan (3,68 %)
4. Win32/Qhost trojan (2,27 %)
5. MSIL/NanoCore trojan (2,00 %)
6. MSIL/Autorun.Spy.Agent.DF worm (1,71 %)
7. BAT/TrojanClicker.Small trojan (1,66 %)
8. Win32/PSW.Delf.OSF trojan (1,54 %)
9. Java/Adwind trojan (1,40 %)
10. PowerShell/Agent.RJ trojan (1,09 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

24. a 25. prosince jsou každoročně dny s nejmenším počtem detekcí malware.

Přesto jsme zachytili cílenou kampaň spyware, která začala dle telemetrických dat 17. prosince. Útočníci se pokusili zneužít období předvánočních nákupů a propašovat do e-mailových schránek spam s trojským koněm Spy.Agent.AES. Minulý měsíc stála hrozba za pětinou všech detekcí.

Základní informace  pro vás shrnul Michal Filipin ve videu:

Spy.Agent.AES je malware, který dokáže odcizit hesla uživatelů uložená v běžných prohlížečích. Hesla mají na černém trhu obrovskou hodnotu, proto jsou útoky na ně dlouhodobě nejvážnějších problém.

Škodlivý kód se skrýval v e-mailu, který útočníci vydávali za zprávu od zásilkové služby. Ačkoli byl psán v angličtině, podobný typ zprávy je v adventu rizikový. Obzvláště vezmeme-li v úvahu, že letos 82 % uživatelů nakoupilo v zahraničních online obchodech převážně z Číny. Útočníci zřejmě doufali, že škodlivá zpráva zapadne mezi další a uživatelé riziko podcení.

Na hesla útočí i další trojské koně

Na hesla útočí i další malware, jmenovitě trojské koně Formbook a PSW.Fareit, které se umístily na druhé a třetí příčce. Autoři e-mailů, kterými malware šíří, ale od října upouští od české textace a vrací se zpět k angličtině, čímž se stávají pro české uživatele snadněji identifikovatelné.

Nicméně například vývojáři Formbooku vydávali infikované zprávy za komunikace e-shopu, což může být před Vánocemi  velice funkční taktika.

Jak si chránit hesla

Hesla jsou velmi zranitelným prvkem zabezpečení každého uživatele. Před jejich ukládáním v prohlížečích dlouhodobě varujeme. Mnohem vhodnější je ukládání hesel do specializovaných správců hesel. Ty bývají i součástí některých anti-malware programů.

Je na místě využívat silná hesla složená z malých i velkých písmen, číslic a znaků. Doporučujeme si vytvořit frázi složenou z několika slov, která bude mít pro konkrétního uživatele zapamatovatelný příběh.

Zabezpečení přihlašovacích údajů zvyšuje využívání dvoufaktorového ověření. Za druhý faktor se považuje kód z SMS nebo například notifikace, kterou je nutné potvrdit například otiskem prstu. Tuto formu ověření lze nastavit i u některých e-mailových účtů nebo sociálních sítí, u bank například jako nutnost, kterou vyžaduje zákon.

Nejčastější kybernetické hrozby v České republice za prosinec 2020

1. 1. MSIL/Spy.Agent.AES trojan (20,02 %)
   2. Win32/Formbook trojan (2,96 %)
   3. Win32/PSW.Fareit trojan (1,94 %)
   4. Win32/Qhost trojanb (1,72 %)
   5. DOC/Agent.FO trojan (1,52 %)
   6. MSIL/NanoCore trojan (1,52 %)
   7. MSIL/Autorun.Spy.Agent.DF worm (1,47 %)
   8. Win32/Agent.UMH trojan (1,31 %)
   9. Java/Adwind trojan (1,25 %)
   10. MSIL/Spy.Agent.CTW trojan (1,16 %)