Česká republika byla v únoru mezi pěti zeměmi, na které cílil spyware Agent Tesla nejčastěji. Dalšími cílovými zeměmi bylo Japonsko, Turecko, Polsko a Španělsko, a spyware nejčastěji ukrývala právě příloha se španělským názvem. Česká příloha se tentokrát objevila pouze v případě útoků spywaru Formbook.

Nebezpečné e-mailové přílohy v únoru 2024

V únorové statistice se nově objevil také škodlivý kód Rescoms. Tento trojský kůň, který je známý i pod názvem Remcos, je dalším typem škodlivého kódu, který útočníci využívají k narušení našeho soukromí a odcizení osobních údajů. Šíří ho většinou prostřednictvím spamových kampaní, může být ale součástí i složitějších útoků. Ačkoli je na internetu ke stažení jako komerční nástroj, který útočníci vydávají za software ke vzdálené správě systému Windows, je to malware s celou řadou funkcí k odcizení dat a odposlechu obětí.

Cestu k našim datům hledají kyberzloději za každou cenu

Spyware je dlouhodobě jednou z největších hrozeb pro české uživatele. Jeho prostřednictvím se útočníci zaměřují na odcizení přihlašovacích údajů, především uživatelských hesel. Malware Rescoms má také řadu funkcionalit, které útočníkům v okamžiku, kdy škodlivým kódem infikují počítač, otevřou dveře k našemu soukromí.

Bezpečnostní experti proto uživatelům doporučují maximální obezřetnost při práci s elektronickou poštou, nereagovat na e-maily, které přijdou bez vyžádání z neznámé adresy, a rozhodně v nich neklikat na odkazy ani neotvírat žádné přílohy.

Pozor na spam a phishing

Kromě bezpečnostního softwaru, který nás dokáže před zmíněnými hrozbami účinně ochránit, bychom si také měli uvědomit, že každý z nás může být cílem útočníků. Jedním z největších omylů, před kterými bezpečnostní specialisté opakovaně varují, je falešný pocit bezpečí – častokrát si totiž myslíme, že nejsme jako terč pro kybernetické útočníky dostatečně zajímaví.

Co na to říkají odborníci na kyberbezpečnost?

„V našich doporučeních se vždy snažíme upozorňovat na to, že útočník si nehledá konkrétní oběti, ale pomocí automatizovaných procesů dnes dokáže zacílit na velké množství náhodně vybraných lidí. Je to jeho cíl – čím víc z nás obdrží e-mail s nebezpečnými přílohami obsahujícími spyware nebo jiný malware, tím se zvýší pravděpodobnost, že někdo přílohu skutečně otevře a vpustí škodlivý kód do počítače. Motivem pro útočníky je samozřejmě vysoká prodejní cena našich dat a údajů na černém trhu,“ říká Martin Jirkal, vedoucí analytického týmu z ESETu.

Před nebezpečnými e-mailovými přílohami uživatele ochrání dobře nastavená antispamová ochrana, která je součástí moderních a komplexních bezpečnostních řešení. Ta nabízejí navíc řadu dalších funkcí, jako je například správce hesel nebo virtuální privátní síť VPN.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2024:

1. MSIL/Spy.AgentTesla trojan (17,90 %)
2. Win32/Formbook trojan (8,18 %)
3. Win32/Rescoms trojan (6,13 %)
4. VBS/Agent.QMG trojan (5,99 %)
5. MSIL/Spy.Agent.AES trojan (1,98 %)
6. Win32/PSW.Fareit trojan (1,92 %)
7. VBS/Agent.RRF trojan (1,75 %)
8. Win32/Qhost trojan (0,82 %)
9. Win64/Rozena trojan (0,76 %)
10. Win32/Ramnit virus (0,74 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Spyware Agent Tesla se i v březnu objevil ve zhruba třetině všech případů. Bezpečnostní experti zaznamenali útočné e-mailové kampaně především ve druhé polovině měsíce, konkrétně 17., 18. a 22. března. Nebezpečná e-mailová příloha, přes kterou se spyware v březnu šířil, se tentokrát jmenovala 110500_AS003_2022_5240041771_1.exe.

V předchozích měsících se nebezpečné přílohy objevovaly s názvy jako účtenka, faktura, nebo objednávka. V březnu se české názvy objevovaly ale spíše ojediněle. Nejedná se o nijak nezvyklou situaci. Útočníci pravděpodobně jen zkoušejí různé strategie.

Spyware je druh škodlivého kódu, který se zaměřuje na uživatelská hesla uložená v internetových prohlížečích. Uniklá hesla pak často končí na černém trhu a mohou být zneužita k celé řadě dalších útoků.

Naléhavé a neznámé e-maily radši dvakrát prověřte

Dalšími z nejčastěji objevených škodlivých kódů byly v březnu také spyware Formbook a password stealer Fareit s téměř srovnatelným počtem detekcí.

Spyware Formbook útočil v první polovině měsíce, a to 11. března. Password stealer Fareit poté útočil 7. března. V jeho případě útočníci aktivně využili češtinu, škodlivá e-mailová příloha se jmenovala Objednávek (P.O_R6790074)_INTERCOM_Bohemia.exe.

Bezpečnostní experti nadále radí, abychom nespouštěli a neotvírali soubory, které obdržíme e-mailem od neznámého odesílatele. Pokud se odesílatel jeví jako zástupce nějakého úřadu či instituce, například banky nebo poskytovatele energií, e‑maily je lepší si potvrdit přímo na oficiální zákaznické lince.

Malware se ve velkém stále šíří přes e-mail

Ačkoli obliba komunikace na sociálních sítích či přes komunikační aplikace roste, e-mail stále zůstává jedním z hlavních nástrojů komunikace jak v osobním, tak v pracovním životě. Na pozoru bychom se tak měli mít i v práci. Nebezpečné přílohy můžeme totiž najít i ve svých pracovních e-mailových schránkách.

V případě e-mailových útoků je také důležité všímat si všech podezřelých a nestandardních ukazatelů, jako je například e-mailová adresa odesílatele nebo celkové znění zprávy. Phishingové kampaně se vyznačují velkou naléhavostí a znění zprávy nás má vystresovat. Útočníky často prozradí také špatná úroveň češtiny. To jsme mohli vidět i v případě přílohy, přes kterou se v březnu šířil již zmíněný malware Fareit.

Útočníky často prozradí také špatná úroveň češtiny. To jsme mohli vidět i v případě přílohy Objednávek(P.O_R6790074)_INTERCOM_Bohemia.exe.

Zařízení před útoky zabezpečí také kvalitní antivirový program, který dokáže na kybernetické hrozby v e-mailu včas upozornit.

Nejčastější kybernetické hrozby v České republice za březen 2022:

1. MSIL/Spy.AgentTesla trojan (27,81 %)
2. Win32/Formbook trojan (14,88 %)
3. Win32/PSW.Fareit trojan (13,39 %)
4. Win32/Rescoms trojan (3,29 %)
5. MSIL/Spy.Agent.AES trojan (3,06 %)
6. DOC/Agent.HY trojan (2,02 %)
7. Win32/Agent.TJS trojan (1,43 %)
8. Java/Spy.Agent.R trojan (1,38 %)
9. MSIL/NanoCore trojan (0,71 %)
10. MSIL/Spy.Agent.DFY trojan (0,63 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Není čas na čtení? Náš kolega Michal pro vás shrnul to nejdůležitější ve videu:

Nejvíce se uživatelé potýkali s trojským koněm Spy.Agent.CTW, který stál za čtvrtinou detekcí. V červenci jsme zachytili kampaň zacílenou na Českou republiku, v menší míře jsme výskyt malware zachytili v Rumunsku a Řecku.

Různé verze Spy.Agent.CTW mají rozdílné funkce. Všechny se ale zaměřují na odcizení hesel z poštovních aplikací Office Outlook, Foxmail a Thunderbird, z internetových prohlížečů a z některých aplikací, jako je např. Telegram.

Některé verze dokážou převzít kontrolu nad uživatelskými účty v aplikaci Discord, ze kterých poté útočník může odesílat vzkazy. Malware si uživatel mohl stáhnout z přílohy s názvem Material requirements.exe.

Uživatelská hesla jsou pro útočníky cennou komoditou, kterou lze na černém trhu prodat.

Druhou nejčastější hrozbou byl známý Spy.Agent.AES. Velkou kampaň na šíření tohoto trojského koně jsme zachytili v průběhu května a června. Květnová se zaměřovala speciálně na Českou republiku. Jde o jeden z mála malware v našich statistikách, který se šíří e-mailem s českou textací.

I tento trojský kůň se zaměřuje na odcizení hesel, konkrétně z prohlížečů. Nejčastěji se šířil v infikovaných přílohách e-mailů, které útočníci vydávají za faktury nebo logistické dokumenty.

Útok lze i koupit

Ne každý útočník je zdatný v technikách hackingu. Předem připravený malware si lze malware zakoupit na tzv. darknetu. Příkladem takové hrozby je třetí nejčastěji  detekovaný backdoor Formbook, proto jej každý měsíc zachytáváme jinde. V červnu jsme jej detekovali ve vyšší míře v Japonsku a na Tchaj-wanu, červenci byl krom ČR nejvýraznější v jihovýchodní Evropě. Formbook se zaměřuje na získání hesel ze širokého spektra prohlížečů.

Zajímavostí je, že vývojáři pronajímají nejen samotný malware, ale také servery k útoku. Někdy vývojář zajistí i distribuci (tedy rozeslání infikovaných e-mailů na seznam odcizených adres). Protože útok bývá globální, jsou škodlivé e-maily jen v angličtině a pro uživatele je tak snazší podvod odhalit.

Jak si chránit heslo před útoky?

Hesla jsou základní prvek ochrany soukromí online a určitou péči si zaslouží. Rozhodně doporučujeme tvořit si silná hesla. Nikdy si je ale neukládejte v prohlížečích. Pro ukládání hesel využívejte raději speciální program – správce hesel (nebo anglicky password manager), někdy je součástí antivirových programů.

V neposlední řadě je nutné pravidelně aktualizovat zařízení a jejich software a používat spolehlivý bezpečnostní program.

Nejčastější kybernetické hrozby v České republice za červenec 2020:

1. Trojan.MSIL/Spy.Agent.CTW (24,71 %)
2. Trojan.MSIL/Spy.Agent.AES (9,19 %)
3. Trojan.Win32/Formbook (5,49 %)
4. Trojan.Win32/PSW.Fareit (4,55 %)
5. Worm.MSIL/Autorun.Spy.Agent.DF (3,97 %)
6. Backdoor.Java/Adwind (1,43 %)
7. Backdoor.Win32/Tofsee (1,26 %)
8. Backdoor.Win32/Agent.UAW (0,94 %)
9. Trojan.Win32/Spy.Socelars (0,94 %)
10. Trojan.MSIL/Spy.Agent.CSS (0,91 %)

Trojské koně se pokoušely získat hesla uložená v prohlížečích. Proto hesla v prohlížeči neukládejte.

Vývoj těchto trojských koní se podle všeho přestává uživatelům vyplácet. Ačkoli je to dobrá zpráva, není dobré usínat na vavřínech a ochranu hesel podceňovat.

Jmenovitě se na první příčce umístil trojský kůň Spy.Agent.AES. Šíří se prostřednictvím příloh podvodných e-mailů, které mají anglické názvy jako „NEW ORDER” nebo „Delivery Note“. Přílohy mají působit legitimně.

Stříbro získal trojský kůň Fareit. U tohoto malware jsme zaznamenali jeho vývoj. V průběhu září útočníci zapracovali na ztížení detekce tohoto malware. Mimoto detekci stěžuje i fakt, že se sám ze zařízení vymaže, jakmile útočník získá přístupové údaje.

Přestože tyto hrozby slábnou, ještě zcela neustoupily. Proto doporučujeme uživatelům, aby i nadále na ochranu hesel dbali. Ukládání hesel do prohlížečů (pokud nevyužíváte doplněk specializovaného správce hesel) je sice pohodlné, ale bohužel není bezpečné.

Vrací se backdoor starý 3 roky

S výrazným odstupem skončil na třetí pozici backdoor Adwind. Ten byl v České republice nejaktivnější v roce 2016 a nyní se vrací. Vyvíjejí jej útočníci z Blízkého východu a je specifickým tím, že napadá zařízení s různými operačními systémy. Adwind je nejsofistikovanější malware psaný v jazyce Java.

Když je tento backdoor aktivní, je schopen odcizit informace o uživateli nebo je útočníci mohou zneužít k distribuci dalšího škodlivého kódu.

Zvyšující se cena kryptoměn láká útočníky.

Druhé místo obsadil malware Trojan.Win64/CoinMiner.RX, který těží kryptoměny bez vědomí uživatele. Zvyšující se cena kryptoměn láká útočníky. Ti šíří CoinMiner.RX především prostřednictvím spamu. Dále si jej uživatel může stáhnout při instalaci Adobe Flash Player a Google Chrome z neoficiálních stránek.

Na třetí příčku se propadl Trojan.MSIL/Spy.Agent.AES. Ten byl v červenci druhou nejčastější hrozbou. Tento trojský kůň se šíří prostřednictvím příloh podvodných e-mailů. Útočníci se snaží škodlivý kód ukrýt v dokumentech, které působí legitimně. Přílohy se jmenují například „STATEMENT OF ACCOUNT FILES“ nebo „New Order 4502165216.exe“. Podvodníci se pokoušejí získat hesla z prohlížečů Google Chrome a Mozilla Firefox.

Nejčastěji detekované kybernetické hrozby v České republice za srpen 2019:

1. Trojan.Win32/PSW.Fareit (11,69%)
2. Trojan.Win64/CoinMiner.RX (4,71%)
3. Trojan.MSIL/Spy.Agent.AES (4,68%)
4. Trojan.MSIL/Spy.Agent.AUS (4,29%)
5. Backdoor.Win32/Rescoms (3,58%)
6. Trojan.Win32/KillFiles (3,15%)
7. Backdoor.Java/Adwind (2,67%)
8. Trojan.Win32/VB.OSK (1,18%)
9. Backdoor.MSIL/NanoCore (1,11%)
10. Trojan.RAR/Agent.CI (1,03%)

Druhou příčku obsadil další trojský kůň, jmenovitě Trojan.MSIL/Spy.Agent.AES. Šíří se prostřednictvím příloh podvodných e-mailů, které se na první pohled tváří legitimně. Infikované příloha nesou názvy jako „Statement od account files“ nebo „New Order 4502165216.exe“. V i případě tohoto trojského koně se útočníci snaží získat hesla, napadá internetové prohlížeče a to Chrome a Firefox.

Třetí nejčastější hrozbou se stal tzv. backdoor pojmenovaný Backdoor.Win32/Rescoms. Ten umožní útočníkům řídit na dálku činnost počítače. Podvodníci jej zneužívají k odcizení citlivých dat, jako jsou informace o zemi, kde se zařízení nachází, jméno zařízení a uživatele, snímky obrazovky a záznamy z webkamery. Veškerá data se následně odesílají na vzdálený server útočníků.

Naši kolegové upravili kritéria statistik aktuálních rizik, nyní budeme uživatele varovat před takzvaným tvrdým malwarem, který je ohrožuje primárně a nejzávažněji.

Nejlepší obrana? Nedůvěra

Dobrou zprávou je, že před zmíněnými hrozbám existuje snadný způsob, jak se bránit. Proti útokům na citlivé informace existují dvě základní pravidla ochrany. Pečlivě uvažujte, jaké soubory si stahujete a instalujete do svého počítače a za využívejte na svém zařízení spolehlivé bezpečnostní řešení.

Zda dokážete rozpoznat podvodný email, který se z vás snaží vylákat osobní údaje, můžete zkusit v našem článku z ledna.

Uživatelé některého z bezpečnostních programů ESET jsou před všemi jmenovanými hrozbami chráněni.

Nejčastější internetové hrozby v České republice za červenec 2019:

1. Trojan.Win32/PSW.Fareit (8,79 %)
2. Trojan.MSIL/Spy.Agent.AES (6,66 %)
3. Backdoor.Win32/Rescoms (3,95 %)
4. Backdoor.MSIL/NanoCore (2,65 %)
5. Trojan.Win32/Formbook (2,51 %)
6. Backdoor.Java/Adwind (2,48 %)
7. Trojan.MSIL/Spy.Agent.AUS (2,14 %)
8. Trojan.Win32/Spy.Socelars (2,12 %)
9. Worm.MSIL/Autorun.Spy.Agent.BT (1,27 %)
10. Win32/Neshta (1,26 %)

Od dlouhodobě nejčastějšího škodlivého kódu Danger, který se šíří prostřednictvím škodlivých příloh e-mailů, dělily Chromex desetiny procenta. Zatímco Danger v červenci představoval 17,50 procenta všech detekcí společnosti ESET, Chromex dosáhl v žebříčku nejčetnějších internetových hrozeb podílu 16,72 procenta.

Oběť si škodlivý kód sama stáhne a instaluje

„Nárůst detekcí trojského koně JS/Chromex.Submeliux může souviset s obdobím prázdnin. Právě v této době více uživatelů využívá neoficiální streamovací služby a stahuje si nabízené pluginy,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Pluginy však mají naprosto opačný efekt. Navíc mohou do napadeného zařízení instalovat downloader,“ vysvětluje Dvořák.

Jak nebezpečný trojský kůň Chromex funguje? Neoficiální streamovací weby vyžadují pro spuštění videa několikeré kliknutí na náhled videa. Jeho prostřednictvím se otevírají nová okna prohlížeče a zobrazují se v nich reklamy. Mezi nimi jsou i nabídky na instalaci škodlivých pluginů internetového prohlížeče Chrome, které obsahují právě trojského koně Chromex. Uživatel si tedy škodlivý kód sám nevědomky instaluje do počítače nebo jiného zařízení. Mezi rizikovými video weby jsou i některé stránky fungující na doménách .cz a .sk.

Nepolevuje ani hrozba malware Danger

V červenci nepolevovalo ani nebezpečí malwaru Danger. Tento škodlivý kód se šíří především prostřednictvím příloh nevyžádaných e-mailů. „Neškodí jen sám o sobě, dokáže do napadeného zařízení stáhnout další škodlivé kódy včetně vyděračského ransomware, který zašifruje obsah zařízení a požaduje po oběti výkupné,“ varuje Dvořák.

Třetí nejčastěji zaznamenanou hrozbou v červenci byl škodlivý kód JS/Adware.AztecMedia. Ten v internetovém prohlížeči otevírá nevyžádaná okna s reklamou. V některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče. V červenci představoval 4,36 procenta zaznamenaných hrozeb v České republice.

Deset nejčastějších internetových hrozeb v České republice za červenec 2017:

1. JS/Danger.ScriptAttachment (17,50 %)
2. JS/Chromex.Submeliux (16,72 %)
3. JS/Adware.AztecMedia (4,36 %)
4. Win32/GenKryptik (2,29 %)
5. SMB/Exploit.DoublePulsar (2,25 %)
6. PDF/Fraud (1,90 %)
7. JS/Adware.BNXAds (1,88 %)
8. Java/Kryptik.FN (1,77 %)
9. Java/Kryptik.FL (1,76 %)
10. HTML/Frame (1,44 %)

Po stažení a instalaci aplikace požádá uživatele o přístup do zařízení s administrátorskými právy. Po udělení oprávnění škodlivou aplikaci nejde klasickou cestou odinstalovat. Ikona aplikace, která se vydává za Flash Player, se v uživatelském rozhraní skryje, takže na první pohled to vypadá, že k instalaci vůbec nedošlo, malware však už na pozadí provádí svou činnost.

Android/Spy.Agent.SI komunikuje se vzdáleným serverem. V pravidelných intervalech 25 sekund odesílá na server informace o infikovaném zařízení – model, IMEI, jazyk, verze SDK a instalovaných aplikacích. Z těch ho nejvíce zajímají bankovní aplikace. Pokud dojde ke shodě s cílovými aplikacemi, dojde k útoku.

Nejde o nic složitého. Při zapnutí legitimní aplikace malware zablokuje otevření aplikace a požaduje zadání přístupových údajů v podvodném okně. Samozřejmě v reálu k žádnému ověření zadaných údajů nedochází, místo toho Android/Spy.Agent.SI získaná data ihned odesílá na vzdálený server. Podobný způsobem se snaží získat přístup i do Google účtu.

Výměna informací mezi zařízení a serverem je kódována. Vše kromě ukradených přihlašovacích údajů, které se odesílají v plain textu.

Pak už při podvodné platbě zbývá jen obejít ověření pomocí SMS zprávy. Opět jde o jednoduchý proces. Malware odešle text smsky na server a zároveň zamaskuje, že by nějaká SMS na zařízení vůbec přišla. Útočník tak může nepozorovaně okrádat uživatele a převádět peníze na vlastní účty.

Android/Spy.Agent.SI prozatím útočí jen v Austrálii, Novém Zélandě a Turecku.

S trochou nadsázky bychom mohli napsat, že z pohledu malware tvůrců jde o takové malé mobilní Windows. Škodlivý kód se na mobilní zařízení dostane nejčastěji pomocí podvodných aplikací. Ty obvykle zdařile imitují velmi populární placené aplikace (např. hry) s malým, ale zásadním rozdílem. Jsou k dispozici zdarma.

Pokud jsou nahlášeny jako škodlivé, tvůrci provedou lehký facelift, lépe skryjí datovou strukturu, změní jméno a šoupnou ji zpátky do obchodu. A tak pořád dokola. Podobně tomu je i u případu, o kterém informovala společnost ESET, kdy Google Play zaplavil porno trojan Android/Clicker, který po instalaci podvodně otevírá reklamu a tím tvůrcům generuje zisk.

I když nejde o vyloženě škodlivý malware, který by například zamknul zařízení a požadoval výpalné, generuje velký datový provoz, a může tak uživateli skrytě vyčerpat datový tarif. Nejde o ojedinělou záležitost, dokonce je možné mluvit o trvalé kampani.

Za posledních 7 měsíců objevili na Google Play výzkumníci ESETu 343 kousků Android/Clickeru.

A to už není náhoda. Tvůrci mají jasný cíl a neustále malware zdokonalují, a vychytávají chyby. Třeba pro masivnější nasazení v budoucnu.

Ochrana přitom není složitá

Stačí instalovat na mobilní zařízení některou z bezpečnostních aplikací, která drtivou většinu hrozeb odfiltruje ihned. Riziko nákazy mobilního zařízení se velmi podceňuje, na rozdíl od klasických počítačů.

Dle průzkumu ESET chrání své mobilní zařízení jen necelá pětina uživatelů. Na to, že mobilní zařízení dnes lidé používají k běžné činnosti (e-maily, internet, bankovnictví) pravděpodobně i častěji než počítače, jde o velmi malé číslo.

Ale i Google samotný nabízí uživatelům opravdu mocný nástroj k tomu, aby ke stažení podvodný aplikací nedocházelo. A tím jsou uživatelské recenze. Pokud má aplikace velmi nízké hodnocení, není s ní něco v pořádku. Důvody bývají v recenzích uvedeny.

Takže pokud vám nesepne varovná kontrolka u faktu, že GTA je k dispozici zadarmo, koukněte na hodnocení a přečtěte si prvních pár recenzí. Vyplatí se to.

Podobně jako mnohé další hrozby i Bayrob je distribuován pomocí infikovaných příloh v e-mailech. Tvůrci vše zabalili do sociálně inženýrského obalu společnosti Amazon, takže uživatel našel v e-mailové schránce na první pohled důvěryhodný e-mail. Při pozornějším zkoumání však bylo jasné, že jde o podvod. Adresa odesílatele neměla s Amazonem zcela nic společného.

Dalším varování bylo, že příloha obsahovala spustitelný soubor. Pokud na něj uživatel kliknul a nezafungoval rezidentní štít antivirového programu, na obrazovce se objevila hláška o tom, že soubor nelze spustit.

Upozornění však mělo za úkol uživatele pouze ujistit, že se nic nestalo. Ve skutečnosti se však už rozjel na počítači klasický malware kolotoč. Bayrob se zaregistroval jako systémová služba a upravil systémové registry tak, aby si zajistil opětovné spuštění při každém zapnutí počítače.

Jako u většiny malware kampaní z poslední doby, je i Win32/Bayrob pouze vstupní branou do počítače uživatele. Proto se ihned po úspěšné infekci snaží připojit k řídícímu serveru (ten je pod kontrolou útočníka) a postupně začne do infikovaného počítače stahovat další škodlivý kód. To může později vést například k phishigovým útokům při používání internetového bankovnictví a v konečném důsledku třeba k vykradení bankovního účtu, Paypalu a podobně.

Win32/Bayrob řádil hlavně v bohatších koutech světa – v Evropě, Jižní Africe, Austrálii a na Novém Zélandě, což je logický důsledek faktu, že se snažil imitovat e-maily Amazonu

V této souvislosti je zajímavé, že z nějakého důvodu vůbec neútočil na další lukrativní trh – USA. Možná si chtěli tvůrci nejprve otestovat úspěšnost kampaně, vylepšit „nedostatky“ a k útoku dojde v dalších měsících tohoto roku. Uvidíme.