V Česku stále dominují kybernetické útoky na uživatelská hesla, malware se nejčastěji šíří e-mailem
16. 5. 2020
V Česku stále dominují kybernetické útoky na uživatelská hesla, malware se nejčastěji šíří e-mailem

Bezpečnostní analytici společnosti ESET zpracovali přehled nejčastějších hrozeb za měsíc duben. Za celou čtvrtinou detekcí stojí malware Spy.Agent.AES.

Během velikonočních svátků byli Češi cílem významné spamové kampaně. Během ní útočníci šířili malware s cílem získat uživatelská hesla. Vyplývá to z pravidelného přehledu nejčastějších hrozeb v Česku, který připravují analytici bezpečnostní společnosti ESET.

Nejčastější hrozbou byl v dubnu v České republice malware Spy.Agent.AES a to navzdory tomu, že jeho přítomnost od začátku roku postupně oslabovala. Souhra okolností v podobě oslabení výskytu dalších rodin malware a vlivu karantény na změnu v pracovních procesech, stál tento škodlivý kód za čtvrtinou útoků v České republice.

„Na tomto příkladu je názorně vidět, jak útočníci často fungují. S největší pravděpodobností se na začátku roku soustředili na přípravu  výrazné kampaně plánované na velikonoční svátky. Je poměrně běžné, že se na několik týdnů až měsíců odmlčí a vylepšují svůj škodlivý kód,“ vysvětluje Martin Jirkal, vedoucí analytického oddělení v české pobočce firmy ESET.

Útočná kampaň Spy.Agent.AES využívala česky psaných spamových e-mailů. Malware se skrýval v příloze s názvem „kopie platby09886673.exe“. Po svém spuštění dokážou útočníci prostřednictvím tohoto škodlivého kódu získat hesla uložená v prohlížečích, dále hesla k e-mailovým a FTP klientům a ke komunikačním (chatovacím) službám.

Nárůst detekcí škodlivého kódu Spy.Agent.AES je ale výjimkou, přítomnost většiny typů malware nyní naopak oslabuje. Důvodem je pravděpodobně celosvětová pandemie COVID-19.

„Z dostupných informací a našich dat usuzujeme, že útočníci nyní revidují své kódy a připravují se na konec krize. Toto tvrzení podporuje i vyjádření některých autorů ransomware pro média, že během pandemie nebudou útočit vůbec,“ popisuje chování útočníků Jirkal.

Zadní vrátka a trojský kůň

S výrazným odstupem skončil na druhém místě backdoor Rescoms. Ten napadá operační systém Windows. Je-li aktivní, dokáže například mazat soubory, stahovat a spouštět soubory, včetně dalšího malware.

„Útočníci prostřednictvím škodlivého kódu rovněž mohou modifikovat nastavení systému, zaznamenat údery kláves a odcizit tak citlivé údaje. Tento malware se pohybuje od začátku roku okolo 3% podílu na detekcích, s výjimkou března kdy oslabil na polovinu. Nepředpokládáme, že by tento malware výrazněji rostl. Rescoms se šíří taktéž e-mailem, a to v přílohách, které útočníci vydávají za faktury,“ vysvětluje Jirkal z ESETu.

Třetí nejčastější hrozbou byl trojský kůň Bladabindi. I tento malware má za úkol získávat od uživatele infikovaného zařízení citlivé údaje a hesla. Některé varianty dokážou také instalovat další malware. Bladabindi obsahuje funkci keyloggeru, sleduje tedy stištěné klávesy. Šíří se nejčastěji z infikovaných stránek nebo jej instalují jiné škodlivé kódy.

Nejčastěji se malware šíří e-mailem

E-mail je obecně po celém světě nejběžnějším nástrojem k šíření škodlivého kódu. Experti proto apelují na uživatele, aby byli opatrní při otevírání příloh ve své e-mailové schránce.

„Obvykle se jedná o nějaký zdánlivě běžný dokument, jakým může být faktura či avízo od logistické společnosti, popř. spustitelný soubor s dvojitou koncovkou tvářící se jako dokument. Typickým chováním v případě MS Office dokumentů je při jejich spuštění požadavek na spuštění maker či povolení úprav. Pokud tak učiníte, malware dostane možnost se spustit. Doporučil bych proto si všechny nestandardní e-maily před jejich otevřením nejdříve pečlivě prověřit, obzvláště nyní, kdy řada uživatelů pracuje ze svých domovů,“ radí Jirkal.

Nejčastější kybernetické hrozby v České republice za duben 2020:

1. Trojan.MSIL/Spy.Agent.AES (26,91 %)
2. Backdoor.Win32/Rescoms (3,10 %)
3. Trojan.MSIL/Bladabindi (2,32 %)
4. Trojan.Win32/PSW.Fareit (2,19  %)
5. Backdoor.MSIL/NanoCore (2,15 %)
6. Backdoor.Java/Adwind (1,62 %)
7. Trojan.MSIL/Spy.Agent.AUS (1,44 %)
8. Trojan.Win32/Formbook (1,35 %)
9. Win32/Floxif (1,29 %)
10. Win32/Neshta (1,12 %)