Červencovým hrozbám v Česku vévodil malware Fareit
V necelé pětině všech detekovaných případů kybernetických hrozeb pro operační systém Windows v Česku se v červenci objevil spyware Agent Tesla. Druhou nejčastější detekci představuje další tzv. špionážní malware a to Formbook. Mezi nejčastější detekované škodlivé kódy patřil Fareit, prostřednictvím kterého se útočníci snažili získat hesla českých uživatelů.
V téměř pětině všech případů kybernetických hrozeb pro operační systém Windows objevili bezpečnostní specialisté z Esetu spyware Agent Tesla. Útoky v červenci probíhaly především v angličtině a nejčastější škodlivá příloha byla tentokrát pojmenovaná Payment Advice OIS641PF RO_PDF.exe.
„Útočné kampaně s využitím spywaru Agent Tesla jsme tentokrát zaznamenali především ve dnech 7. a 11. července. Útočníci šíří tento druh škodlivého kódu prostřednictvím strategie, kterou v Česku pozorujeme již několik měsíců a která spočívá ve zneužívání škodlivých příloh s příponou .exe. Oproti jiným kampaním je v tomto případě používaným jazykem angličtina,“ řekl Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti Eset.
Přípona .exe označuje spustitelný soubor, který ale v případě útočných kampaní obsahuje také škodlivý kód. Pokud uživatel takovou přílohu ze svého e-mailu otevře a spustí, spyware infikuje jeho zařízení. Výsledkem je pak nejčastěji odcizení přístupových údajů k různým službám.
Největším rizikem je spyware pro hesla, která ukládáme do internetových prohlížečů. Webové prohlížeče totiž nejsou před útoky spywaru dostatečně zabezpečené. Útočníci poté profitují z monetizace takto získaných dat, prodeje samotných přihlašovacích údajů či z výkupného za opětovné zpřístupnění služeb.
Spyware Formbook se snaží obejít bezpečnostní programy
V desetině všech detekcí se v červenci opět objevil spyware Formbook. Šířil se tentokrát prostřednictvím přílohy, která měla název IUMh2If0uRXe0K7.exe. Spyware, který se v Česku šíří hlavně přes anglicky nebo česky pojmenované přílohy odkazující na platební transakce a různé doklady, tím na sebe upozornil bezpečnostní experty.
„Útočníci se ve svých kampaních prozatím vždy snažili uživatele přesvědčit, že sdělení e-mailu je opravdové a týká se nějaké reálné situace. To také potvrzovaly názvy příloh jako objednávka, účtenka nebo faktura. Uživatele pak mohlo varovat, pokud byl e-mail pouze v angličtině, nebo když útočníci nepoužili češtinu správně,“ vysvětlil Jirkal. „S červencovou přílohou lze vidět posun útočníků v jejich strategii. Strategie šíření spywaru Formbook už se primárně nezaměřuje na přesvědčování obětí k otevření infikované přílohy, ale spíše na obcházení bezpečnostních řešení,“ dodal.
Fareit neútočí ve velkém, v Česku byl ale největším rizikem
Password stealer Fareit byl v červenci detekován jen v necelých pěti procentech případů, jako jediný se však cíleně zaměřuje na české uživatele.
„Password stealer Fareit byl v Česku nějakou dobu málo aktivní. To se ale změnilo na začátku letošního roku a Fareit se začal postupně opět zaměřovat na české uživatele. Nejvýraznější útočné kampaně měl tentokrát 7. a 11. července,“ uvedl Jirkal a doplnil: „V červenci jsme v jeho případě také identifikovali nové mutace škodlivých příloh v češtině s názvy Produkty_objednany_P.O_4704526-doc.exe nebo Objednávka_P.O.52204962_EXIM-TECH.exe. I když se password stelaer Fareit zatím objevuje v menším počtu případů, počet e-mailů v češtině zatím každý měsíc roste.“
Password stealer Fareit dokáže odcizit hesla nejen z internetových prohlížečů, ale také z chatovacích aplikací, e-mailu nebo služeb VPN či FTP.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červenec 2022:
- MSIL/Spy.AgentTesla trojan (18,65 %)
- Win32/Formbook trojan (9,33 %)
- Win32/PSW.Fareit trojan (4,71 %)
- MSIL/Spy.Agent.AES trojan (3,22 %)
- Win32/Agent.TJS trojan (2,43 %)
- VBS/Agent.QDF trojan (2,42 %)
- VBS/Agent.QEG trojan (2,3 %)
- MSIL/Spy.Agent.DFY trojan (1,44 %)
- BAT/CoinMiner.AUB trojan (1,03 %)
- VBS/Agent.QEN trojan (0,89 %)
