Internetové hrozby v červenci v České republice

V minulém měsíci se museli uživatelé potýkat s rozsáhlou kampaní trojského koně Spy.Agent.CTW. Jedná se o velmi propracovaný malware, který stál za celou čtvrtinou detekcí. Přitom ještě v červnu mohl jen za procento zablokovaných útoků. Spy.Agent.CTW má několik funkcí, cílem všech je ale odcizit přihlašovací údaje ke konkrétním službám.

"Tento typ malware někdy označujeme jako stealer. Jakmile infikuje zařízení, dokáže získat uložená hesla z e-mailové aplikace Office Outlook, Foxmail a Thunderbird. Mimoto získává hesla také z velkého množství webových prohlížečů a některých aplikací jako je Telegram či QQ Browser," popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET.

Některé verze malware se dokáží nabourat do aplikací jako je například Discord, která je populární především mezi hráči počítačových her. Útok navíc přichází v době, kdy se Discord snaží nabídnout služby i firmám pro komunikaci při práci na dálku. Pokud přístup skutečně získá, dokáže útočník odesílat vzkazy jménem napadeného účtu.

Červencová kampaň Spy.Agent.CTW mířila především na české uživatele, dále na Rumunsko a v menší míře také na Řecko. Tento malware se nejčastěji šířil infikovanými e-maily v příloze s názvem Material requirements.exe.

Hesla jsou nejčastější terč
Druhou nejčastější hrozbou byl podobný trojský kůň Spy.Agent.AES. Výraznou kampaň tohoto malware zaznamenali analytici v průběhu května a června. V květnu se dokonce útočníci zaměřili specificky na Českou republiku.

"V červenci se zájem tvůrců toho malware přesunul i do dalších zemí, proto počet detekcí tak výrazně klesl. Spy.Agent.AES není tak popracovaný, má výrazně méně funkcí – v podstatě jedinou a to získávání hesel z prohlížečů," popisuje Jirkal.

Spy.Agent.AES je jedním z mála malware, který útočí v češtině. Nejčastěji se šířil v infikovaných přílohách e-mailů, které útočníci vydávají za faktury nebo logistické dokumenty.

Útoky lze zakoupit na černém trhu
Na hesla cílí i backdoor Formbook. Analytici zachytili výraznou kampaň tohoto malware v květnu. Po červnovém poklesu v červenci opět tato hrozba posílila. Podle dat byl FormBook nejvýraznější v zemích jihovýchodní Evropy.

"FormBook je velmi nebezpečný, jde v podstatě o podnikatelský projekt. Vývojáři jej nabízejí na černém trhu jako službu k pronájmu, tím se otevírá prostor pro kriminální činnost i těm, kteří by jinak kybernetické útoky po technické stránce nezvládli. Infikované e-maily, které šíří FormBook, byly prozatím v angličtině a pro uživatele je tak snazší podvod odhalit," vysvětluje Jirkal.

Stejně jako dříve zmíněné trojské koně i FormBook získává hesla uložená v různých prohlížečích. Všechny uvedené hrozby se zaměřují na široké spektrum prohlížečů, nikoli jen na nejpopulárnější z nich.

"Uživatelská hesla jsou velmi cennou komoditou. V kombinaci s e-maily jsou pak ještě dražší. Databáze hesel lze snadno prodat dalším útočníkům. Navíc se nejedná o technicky nejsložitější typ útoků, proto se s nimi uživatelé setkávají tak často. Apeloval bych proto na uživatele, aby svá hesla pečlivě chránili a rozhodně je ve svých zařízeních ukládali pouze dostatečně bezpečným způsobem, jaký představují specializované aplikace tzv. správci hesel. Ze statistik je zřejmé, že jsou hesla cílem zločinců dlouhodobě a nelze očekávat, že tento typ útoků z internetu zmizí," doporučuje Jirkal.

Experti doporučují používat silná hesla v podobě heslové fráze a pokud to lze, tak využívat rovněž více faktorové ověření identity nebo využít k vytváření i ukládání hesel specializované aplikace. V neposlední řadě je nutné všechna zařízení aktualizovat a používat spolehlivý bezpečnostní program.

Nejčastější kybernetické hrozby v České republice za červenec 2020:

1. Trojan.MSIL/Spy.Agent.CTW (24,71 %)
2. Trojan.MSIL/Spy.Agent.AES (9,19 %)
3. Trojan.Win32/Formbook (5,49 %)
4. Trojan.Win32/PSW.Fareit (4,55 %)
5. Worm.MSIL/Autorun.Spy.Agent.DF (3,97 %)
6. Backdoor.Java/Adwind (1,43 %)
7. Backdoor.Win32/Tofsee (1,26 %)
8. Backdoor.Win32/Agent.UAW (0,94 %)
9. Trojan.Win32/Spy.Socelars (0,94 %)
10. Trojan.MSIL/Spy.Agent.CSS (0,91 %)