V poslední době společnost ESET zaznamenala malware kampaň škodlivého kódu Win32/Bayrob. Jde o trójského koně, který začal intenzivně útočit zhruba v půli prosince loňského roku.
Podobně jako mnohé další hrozby i Bayrob je distribuován pomocí infikovaných příloh v e-mailech. Tvůrci vše zabalili do sociálně inženýrského obalu společnosti Amazon, takže uživatel našel v e-mailové schránce na první pohled důvěryhodný e-mail. Při pozornějším zkoumání však bylo jasné, že jde o podvod. Adresa odesílatele neměla s Amazonem zcela nic společného.
![spam](https://www.dvojklik.cz/wp-content/uploads/2018/09/o1.jpg)
Dalším varování bylo, že příloha obsahovala spustitelný soubor. Pokud na něj uživatel kliknul a nezafungoval rezidentní štít antivirového programu, na obrazovce se objevila hláška o tom, že soubor nelze spustit.
![upozornění](https://www.dvojklik.cz/wp-content/uploads/2018/09/o2.jpg)
Upozornění však mělo za úkol uživatele pouze ujistit, že se nic nestalo. Ve skutečnosti se však už rozjel na počítači klasický malware kolotoč. Bayrob se zaregistroval jako systémová služba a upravil systémové registry tak, aby si zajistil opětovné spuštění při každém zapnutí počítače.
Jako u většiny malware kampaní z poslední doby, je i Win32/Bayrob pouze vstupní branou do počítače uživatele. Proto se ihned po úspěšné infekci snaží připojit k řídícímu serveru (ten je pod kontrolou útočníka) a postupně začne do infikovaného počítače stahovat další škodlivý kód. To může později vést například k phishigovým útokům při používání internetového bankovnictví a v konečném důsledku třeba k vykradení bankovního účtu, Paypalu a podobně.
Win32/Bayrob řádil hlavně v bohatších koutech světa – v Evropě, Jižní Africe, Austrálii a na Novém Zélandě, což je logický důsledek faktu, že se snažil imitovat e-maily Amazonu
![mapa](https://www.dvojklik.cz/wp-content/uploads/2018/09/bayrob3.jpg)
V této souvislosti je zajímavé, že z nějakého důvodu vůbec neútočil na další lukrativní trh – USA. Možná si chtěli tvůrci nejprve otestovat úspěšnost kampaně, vylepšit „nedostatky“ a k útoku dojde v dalších měsících tohoto roku. Uvidíme.