ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

Nejsilnější útočné kampaně infostealeru Formbook probíhaly z 10. na 11. března a pak koncem měsíce, 28. a 31. března. Nejčastější škodlivá příloha se tentokrát jmenovala "Purchase Order 139022.exe". Bezpečnostní experti při bližším pohledu potvrdili, že útočníci se ve všech případech snažili své oběti nalákat na e-mail s informacemi o doručování balíku.

"Infostealer Formbook má aktuálně jasně ohraničené útočné kampaně a mimo ně byli útočníci v březnu aktivní spíše ojediněle. V první polovině měsíce a koncem března však byly zachycené útoky silné. Mohlo by se zdát, že infostealer je tak méně nebezpečný, ale opak je spíše pravdou, protože aktuální útoky jsou zacílené na konkrétní státy a útočníci do nich investují více zdrojů. Využívají i zcela nové verze způsobů útoku," vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

Infostealer Formbook se v březnu objevil se stejným počtem detekcí, jako v únoru Snake Keylogger alias Agent.AES. Došlo tak k tomu, že si tyto dva škodlivé kódy prakticky vyměnily své pozice. Keylogger zaznamenává stisky kláves na klávesnici, dokáže ale odcizit data dalšími způsoby, které jsou typické pro tento typ škodlivých kódů. Útočníci jej neustále vyvíjejí. Dokážou s jeho využitím odcizit hesla z komunikačních platforem nebo e-mailových klientů, z FTP, webových prohlížečů nebo bezdrátových sítí. V březnu vyzkoušeli strategii, při které se pokusili zmást uživatele domnělými oskenovanými dokumenty v příloze e-mailů – "Scanned Copy.exe" a "Scan Doc.exe". Po jejich spuštění keylogger infikoval počítač oběti.

"V březnu jsme mohli opět vidět, jak nestabilní je aktuální situace poté, co autor infostealeru Agent Tesla ukončil jeho vývoj a jeho čísla se po několika letech dominantní převahy skokově propadly. Jak o infostealeru Formbook, tak o malwaru Agent.AES se mluví jako o jeho možných nástupcích. Evidentně zatím ani jeden z těchto škodlivých kódů nemá takovou převahu, jakou se právě vyznačoval Agent Tesla. Může za tím být i skutečnost, že oba typy škodlivých kódů útočníci dynamicky vyvíjejí, proto vždy u jednoho z nich zaznamenáme ve sledovaném měsíci pokles počtu detekcí. Není to dobrá zpráva pro uživatele a uživatelky, protože se budou setkávat se stále pokročilejšími a nebezpečnějšími verzemi malwaru," říká Jirkal.

Jeden e-mail může ukrývat různé typy kyberhrozeb
Ačkoli i ve firmách jsou dnes stále více využívány různé komunikační platformy, e-mail stále zůstává oblíbeným prostředkem pro spojení s druhými lidmi a službami. Může za tím stát i jeho hojné využití jako přihlašovacího jména u celé řady internetových obchodů a služeb.

"Kromě infostealerů mohou útočníci prostřednictvím e-mailů šířit i ransomware nebo se vydávat za někoho jiného a manipulovat s námi. Této technice říkáme phishing, můžeme ale mluvit i o spoofingu, kdy útočník zfalšuje adresu odesílatele e-mailu tak, že vypadá legitimně. S tím, jak dnes žijeme rychle a musíme zvládat denně velký objem elektronické komunikace, můžeme snadno přehlédnout varovné ukazatele a nechtěně kliknout na nebezpečný odkaz nebo stáhnout a spustit škodlivou přílohu. Pro účinnou obranu před těmito hrozbami je tak za mě ideální kombinovat kvalitní bezpečnostní řešení s tvorbou silných unikátních hesel a využíváním vícefázového ověřování. Cílem infostealerů jsou naše data, především uživatelská hesla, která se dají dobře zpeněžit na černém trhu nebo rovnou využít k přípravě nového útoku. Jakmile útočníci odcizí jedno naše heslo, které využíváme na více místech, velmi rychle prolomí naše další účty," shrnuje Jirkal z ESETu.

Společnost ESET v březnu aktualizovala svou platformu ESET PROTECT, která je součástí řešení pro firemní zákazníky. Kromě nové funkce Obnova po útoku ransomwarem, která je dostupná v řešeních ESET PROTECT Advanced a vyšších, je součástí aktualizace také nová ochrana proti spoofingu a útokům využívajícím homoglyfy. Nově je součástí stávajícího řešení ESET Cloud Office Security (ECOS). Útočníkům brání v tom, aby se vydávali za důvěryhodné zdroje či osoby a rozpozná, pokud chtějí maskovat škodlivé domény nebo URL adresy záměnou písmen z jiných abeced. ESET Cloud Office Security navíc nyní také obsahuje funkci zpětného stažení e mailů, která umožňuje rychle odvolat a umístit do karantény jakékoli doručené e-maily, které vyhodnotí jako podezřelé.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za březen 2025:

1. Win32/Formbook trojan (25,96 %)
2. MSIL/Spy.Agent.AES trojan (15,62 %)
3. MSIL/Spy.AgentTesla trojan (3,12 %)
4. Win64/Agent.ECK trojan (2,87 %)
5. MSIL/Agent.DWN trojan (2,57 %)
6. BAT/Agent.QSN trojan (2,50 %)
7. Win32/Delf.NBX virus (1,99 %)
8. Win32/Expiro virus (1,84 %)
9. Win32/Loader.Ropalidia trojan (1,11 %)
10. Win32/PSW.Fareit trojan (0,91 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Zdroj: eset.cz