ESET: V říjnu šířily spyware falešné faktury

Podle poslední statistiky nejčastějších hrozeb pro operační systém Windows v Česku je s téměř pětinou všech detekcí největším rizikem spyware Agent Tesla. Kybernetičtí útočníci využili k jeho šíření opět česky pojmenované přílohy. Bezpečnostní experti ze společnosti ESET v říjnu sledovali možné propojení všech nejčastějších útoků a domnívají se, že za nimi může stát stejný útočník nebo skupina útočníků. Nejčastější e-mailové přílohy, jejichž prostřednictvím se malware v českém prostředí šířil, tentokrát odkazovaly na dokumenty k platbám, jako jsou faktury nebo potvrzení od přepravních společností.

Největší útok spywaru Agent Tesla proběhl v České republice 3. října. Cílem útočníků, kteří tento škodlivý kód ve svých útočných kampaních využívají, jsou uživatelská hesla. Zranitelná a snadno dostupná jsou pak především hesla uložená v internetových prohlížečích.
„Počet detekcí spywaru Agent Tesla se i další měsíc drží stabilně na zhruba pětině všech zachycených případů pro platformu Windows v Česku,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „U říjnových útoků jsme mohli tentokrát pozorovat strategii, ve které se útočníci zaměřili na země ve střední a jihovýchodní části Evropy a na Turecko. Česká republika byla v říjnu čtvrtou nejvíce zasaženou zemí,“ dodává Jirkal.
Spyware se dlouhodobě šíří prostřednictvím nebezpečných e-mailových příloh. Často mají podobu spustitelného souboru s příponou .exe. Útočníci se snaží přimět uživatele ke spuštění či stažení takového souboru tím, že přílohy vydávají za dokumenty k platbám, faktury či potvrzení od přepravních společností. Na spyware Agent Tesla mohli uživatelé v říjnu narazit především v e-mailu s česky pojmenovanou přílohou Zpusob_platby, jpg.exe.

Bezpečnostní specialisté upozornili na provázanost útoků

V počtu kolem desetiny všech detekcí se v říjnu objevily také další stabilně přítomné škodlivé kódy v Česku, a to password stealer Fareit a spyware Formbook.
„Největší aktivitu jsme u password stealeru Fareit zaznamenali ve dnech 11. až 12. října. Útočníci tentokrát své útoky nelokalizovali do češtiny, nejčastěji jsme narazili na infikovanou přílohu s názvem Enquiry&Specification.exe,“ říká Jirkal.
Spyware Formbook se v útocích objevoval stejně jako Agent Tesla 3. října a stejně jako password stealer Fareit 11. října. Podle bezpečnostních expertů může jeho chování ukazovat na jistou provázanost všech těchto útoků.
„Není nic neobvyklého, že si jeden útočník nebo skupina útočníků na černém trhu koupí více typů různého malwaru a pak je ve svých útocích souběžně využívá. V případě spywaru Formbook jsme nejčastěji narazili na přílohy s názvy DHL Notification_pdf.exe či Potvrzení_platby,png.scr. Právě druhá jmenovaná příloha má velmi nápadnou podobnost s přílohou, která se objevila v útocích spywarem Agent Tesla. Můžeme tak usuzovat, že za útoky může být opravdu stejný distributor malwaru,“ shrnuje Jirkal.

Hesla v hledáčku kyberútočníků

Agent Tesla je v českém prostředí dlouhodobou hrozbou a bezpečnostní specialisté nepředpokládají, že by se tato situace měla v následujícím období výrazně měnit. Uživatelská hesla jsou ceněnou komoditou, kterou mohou útočníci velmi dobře zpeněžit, což je dnes hlavním motivem většiny kybernetických útoků.
„Uživatelé si často mohou říct, že se vlastně nic tak strašného nestane, když jim někdo z internetového prohlížeče odcizí heslo například do nějakého internetového obchodu, kde nemají žádné uložené peníze ani platební kartu. Často ale nevědí, co se s hesly a přihlašovacími údaji, které jsou většinou ve formě e-mailu, děje dál. Útočníci mohou naše další účty zkusit prolomit kombinací stejného přihlašovacího jména a hesla, tzv. credential stuffingem. Z našich průzkumů a zkušeností přitom víme, že stále dost uživatelů opravdu stejná hesla používá u více různých účtů. A samozřejmě to vědí také útočníci,“ dodává Jirkal z ESETu.
Bezpečnostní experti uživatelům doporučují, aby především v období zvýšených online nákupů věnovali pozornost nevyžádané a podezřelé e-mailové komunikaci. S bezpečnou správou jejich hesel jim pak mohou pomoct správci hesel, specializované programy, které hesla ukládají v zašifrované podobě a automaticky je doplňují při přihlášení do konkrétního online účtu. Uživatelé si pak musí pamatovat pouze jedno heslo, a to pro přístup do tohoto programu. Správce hesel mohou uživatelé pořídit jako samostatný software, nebo jako součást prémiového bezpečnostního řešení.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za říjen 2022:

1. MSIL/Spy.AgentTesla trojan (19,18 %)
2. Win32/PSW.Fareit trojan (12,12 %)
3. Win32/Formbook trojan (9,26 %)
4. MSIL/Spy.Agent.AES trojan (3,79 %)
5. VBS/Agent.QJA trojan (3,60 %)
6. Win32/Delf.NBX virus (2,53 %)
7. VBS/Agent.QJV trojan (1,55 %)
8. DOC/Agent.IS trojan (1,43 %)
9. Win32/Rescoms trojan (1,10 %)
10. VBS/Agent.QKF trojan (0,86 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Zdroj: ESET