Lucie MudrákováPodobně, jako v únoru, i v březnu bezpečnostní specialisté zaznamenali změny v pořadí škodlivých kódů pro uživatele a uživatelky operačního systému Windows v Česku. Zatímco spyware Agent Tesla v březnu utlumil svou aktivitu a spyware Formbook se nadále objevuje ve zhruba stejném objemu zachycených případů, ve statistice se nově objevil trojský kůň AsyncRAT.
Škodlivý kód AsyncRAT je běžný trojský kůň typu RAT, tzv. Remote Access Trojan. Jakmile se jednou dostane do systému, umožní útočníkům nad ním získat vzdálenou kontrolu. Jeho zdrojové kódy jsou veřejně dostupné na internetu a každý si je tak může stáhnout a upravit si škodlivý kód pro své účely. Proto má tento malware řadu různých variant s různými funkcemi – pro krádeže citlivých údajů, monitorování našeho chování nebo zneužití našeho počítače k dalším útokům.
Spyware Agent Tesla se v březnu neobjevil v žádné větší útočné kampani a ani přílohy s názvy v češtině tentokrát nebyly výrazněji zastoupeny – útočníci se pravděpodobně stále snaží uživatele zmást přílohami s názvy poptávka nebo děkovný dopis. Jedná se však o případy, se kterými jsme se mohli setkat již v minulých měsících. Spyware Formbook se objevil ve velké kampani z 11. března, ale i v jeho případě byly česky přeložené názvy příloh pouze ojedinělým jevem.
Nebezpečné e-mailové přílohy v březnu 2024
| Malware | Název přílohy |
|---|---|
| Spyware Agent Tesla | RFQ_C3682402292141.exe |
| Poptavka 00413_pdf.exe | |
| děkovný dopis.docx.exe | |
| Spyware Formbook | RFQ RT1120 #10324.exe |
| Trojský kůň AsyncRAT | BL109533.exe |
Jeden trojský kůň a několik způsobů zneužití
Trojský kůň AsyncRAT funguje v podobě základního programu, kterým útočníci infikují náš počítačový systém. Program je pak závislý na serverech útočníků, z nichž stahuje moduly (pluginy) s různými funkcemi. Útočníci tak mohou stále vyvíjet nové funckionality a na dálku přes své servery je poskytovat základnímu škodlivému programu ke stažení. Nemusí tak již vymýšlet jiné cesty, jak k nám další škodlivý kód doručit.
Mezi základní funkce tohoto školdivého kódu patří například vzdálené monitorování a zaznamenávání obrazovky našeho zařízení, nahrávání pomocí webkamery, manipulace se soubory, zaznamenávání stisků kláves na klávesnici nebo krádež hesel a souborů cookies z prohlížečů Chrome či Firefox.
Dále mohou pluginy trojského koně AsyncRAT obsahovat i pokročilé funkce pro složitější typy útoků. Mezi ně patří například spuštění .NET kódu, možnost těžit kryptoměnu XMR (Monero) nebo tzv. seedování torrentů, tedy šíření torrentu s účelem udržet ho dostupný ke stažení. Jednou z dostupných funkcí je ale také možnost spustit útok typu DDoS, který je například v posledním roce velmi častým typem útoku na veřejné instituce v České republice.
⇒ Co je to DDoS útok a co o něm potřebujete vědět?
Škodlivý kód se v počítači hned neukáže
S ohledem na skutečnost, že se trojský kůň AsyncRAT šíří podobně jako spyware přílohami e-mailů, bezpečnostní specialisté uživatelům doporučují opatrně zacházet s příchozími e-mailovými zprávami. Obzvláště na pozoru bychom se měli mít před těmi, které přijdou bez předchozí komunikace z neznámé adresy a budou obsahovat jen strohé nebo žádné další informace. V takových e-mailech bychom nikdy neměli otevírat přiložené přílohy ani klikat na odkazy.
Před pokročilejšími škodlivými kódy nás může nejspolehlivěji ochránit především bezpečnostní software. Dnešní digitální komunikace je již tak všudypřítomná a probíhá v takovém objemu, že například zaměstnancům firem, kteří denně pracují s desítkami e-mailů, se může bohužel stát, že jeden nebezpečný e-mail přehlédnou a domněle neškodnou přílohu otevřou.
Dostatečně varovná by měla být i ta skutečnost, že trojského koně AsyncRAT stačí stáhnout do počítače jen jednou. Díky dodatečným pluginům pak mohou útočníci zahájit celou řadu škodlivých činností nebo zneužít náš počítač k dalším útokům až po nějaké době a na dálku.
Moderní bezpečnostní program nabízí uživatelům kromě klasické antivirové ochrany i celou řadu pokročilých funkcí a nástrojů. Chrání počítač nejen v reálném čase i před nejnovějšími hrozbami, ale může obsahovat i virtuální privátní síť VPN nebo správce hesel, specializovaný program, který hesla uchovává v zašifrované podobě a účinně je tak chrání před spywarem a password stealery.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za březen 2024:
- MSIL/Spy.AgentTesla trojan (11,29 %)
- Win32/Formbook trojan (7,36 %)
- MSIL/AsyncRAT trojan (6,97 %)
- VBS/Agent.RSN trojan (6,91 %)
- VBS/Agent.QMG trojan (6,01 %)
- Win32/Rescoms trojan (3,41 %)
- MSIL/Agent.WTJ trojan (2,65 %)
- Win32/PSW.Fareit trojan (2,21 %)
- MSIL/Spy.Agent.AES trojan (1,61 %)
- PowerShell/Agent.BLP trojan (1,03 %)
Uživatelé produktů ESET jsou před těmito hrozbami chráněni.
