Od března masivně rostl počet detekcí trojského koně Spy.Agent.AES. V květnu stál celkově za třetinou (34 %) detekcí v České republice. Pro uživatele je proto nejvážnější kybernetickou hrozbou.
Tento malware se pokouší získávat hesla z prohlížečů, dále hesla k e-mailovým a FTP klientům a ke komunikačním (chatovacím) službám. Útočníci z těchto informací zpravidla tvoří databáze
e-mailových adres a hesel, které mají na černém trhu značnou cenu.
„Za vysoký počet detekcí může pravděpodobně také neaktivita jiných útočníků. Řada z nich se totiž během pandemie stáhla do ústraní a spíše své škodlivé kódy vylepšuje. Během léta s největší pravděpodobností uvidíme změnu podílu v detekcích a Spy.Agent.AES bude mírně klesat. To jsou však jen čísla. Spy.Agent bude vážnou hrozbou i nadále. Proto bych apeloval na uživatele, aby ochraně svých hesel věnovali zvýšenou pozornost,“ popsal Robert Šuman, vedoucí výzkumu v české pobočce společnosti ESET.
Spy.Agent.AES se šířil prostřednictvím podvodných e-mailů v češtině. Samotný e-mail měl vyvolat dojem legitimní zprávy, například z e-shopu či od obchodního partnera. V příloze emailu se pak nalézal dokument, který nevyvolával podezření. V květnu jej uživatelé mohli stáhnout například v příloze s názvem „Informace_o_platbě.exe“. Jakmile uživatel otevřel infikovanou přílohu, malware se nainstaloval.
Malware jako služba k pronájmu
Velmi podobně útočila i druhá nejčastější hrozba trojský kůň FormBook. Cílem útočníků byly i v tomto případě přihlašovací údaje uživatelů, tento malware měl navíc funkci pro záznam stisknutých kláves. Nashromážděná data pak odesílal útočníkům, kteří je monetizují na černém trhu.
„FormBook se prodává na fórech zločinců jako malware-as-a-service. V praxi si tak útočník, který třeba sám není po technické stránce úplně zkušený, může pronajmout škodlivý kód. Zpravidla za poplatek získá svůj účet na serveru vývojáře malware, na který se pak odesílají nasbíraná data obětí. V některých případech poskytovatel kódu zajistí i distribuci malware,“ popisuje praxi Šuman.
Podle expertů se FormBook šířil především v přílohách podvodných e-mailů. Stejně jako v případě Spy.Agent.AES stačí, aby uživatel povolil makra v infikovaném souboru. FormBook byl v květnu nejaktivnější v Japonsku, na Tchaj-wanu a v České republice.
„Takto výrazná diverzifikace útoků je neobvyklá. Útočníci si častěji vybírají země, které si jsou kulturně a geograficky blíže. Je pak jednodušší vytvořit spam, na který budou potenciální oběti reagovat. Důvod je podle nás prostý: útok si zakoupili útočníci z různých zemí. Pro útočníky má nákup malware jako služby několik výhod: je to levnější, ale také je prakticky nemožné je identifikovat,“ dodává Šuman.
Útoky se šířily i v pracovní korespondenci
S velmi výrazným odstupem skončil jako třetí nejčastější hrozba backdoor Adwind. Tento malware se v dubnu výrazně propadl.
„Adwind se totiž šíří spamem, který imituje obchodní komunikaci. Kvůli přesunu práce z kanceláří a také změnám v obchodní strategii firem se patrně útočníci rozhodli dočasně změnit způsob, kterým útočí. V tomto případě lze předpokládat, že se vrátí na 3% podíl na detekcích, na tento výsledek totiž dosahoval celý minulý rok a na začátku letošního roku,“ doplnil Šuman.
Jakmile je Adwind aktivní, je schopen odcizit informace o uživateli, nebo je možné zařízení uživatele zneužít k distribuci dalšího škodlivého kódu. Tento malware je specifický tím, že napadá různé operační systémy bez rozdílu. Podle expertů se tvůrci malware spíše zaměřují na jeden konkrétní operační systém a podle toho upravují škodlivý kód.
Nejčastější kybernetické hrozby v České republice za květen 2020:
- Trojan.MSIL/Spy.Agent.AES (33,77 %)
- Trojan.Win32/Formbook (8,80 %)
- Backdoor.Java/Adwind (2,24 %)
- Trojan.Win32/PSW.Fareit (2,23 %)
- Trojan.VBA/Agent.NA (1,82 %)
- Trojan.Win32/HackTool.Equation (1,66 %)
- Backdoor.MSIL/NanoCore (1,05 %)
- Win32/Ramnit (0,98 %)
- Trojan.MSIL/Bladabindi (0,95 %)
- Trojan.MSIL/Spy.Agent.AUS (0,88 %)
