logo ESET software spol. s r. o.
Miroslav Dvořák

Miroslav Dvořák

Technický ředitel společnosti ESET

LinkedIn

Jakmile mají útočníci přístup do účtu uživatele ve směnárně Poloniex a k němu přidruženému účtu u Gmailu, mohou jménem uživatele provádět transakce a současně mazat veškerá upozornění o neoprávněném přihlášení a prováděných transakcích, která přijdou do e-mailové schránky uživatele. Nakonec, aby to vypadalo, že aplikace funguje tak, jak má, přesměruje uživatele na mobilní verzi legitimní webové stránky směnárny Poloniex, která vyžaduje, aby se uživatel přihlásil.

Jakmile se uživatel přihlásí, používá legitimní webové rozhraní společnosti Poloniex pro mobilní zařízení. Škodlivá aplikace od této chvíle otevře toto rozhraní při každém dalším spuštění.

Okolo kryptoměn je v současné době hodně rozruchu a počítačoví zločinci se pokoušejí chopit jakékoli nové příležitosti, která se jim naskytne. Ať již v uvozovkách krádeží výpočetního výkonu zařízení uživatelů za účelem těžení kryptoměn přes prohlížeče internetu nebo tím, že infikují nedostatečně aktualizované počítače.

Také se snaží využívat falešné webové stránky a aplikace zaměřené na získávání osobních dat.

Útočníci v tomto případě oprášili starší technologii, která je však v aplikacích stále dostupná. Nejčastěji se jedná o programy v rámci balíku kancelářských programů Office. Protokol DDE zneužívá důvěřivosti uživatelů, kterým přijde nevyžádaný e-mail s přílohou, nejčastěji v podobě wordovského dokumentu.

Po jeho otevření se uživateli objeví upozornění, že dokument obsahuje odkazy, které mohou směřovat na jiné soubory a zda je chce aktualizovat. Pokud uživatel toto potvrdí, dochází ke spuštění procesu infikování.

Útočníci v tomto případě úspěšně využívají metod sociálního inženýrství, aby adresáta zmátli a vytvořili u něj dojem, že příloha je bezpečná. Nastavení zablokování spouštění maker nemá na zabránění infekce žádný vliv.

První SmartPhone dokázal odesílat faxy a e-maily a měl i první aplikace jako kalendář, plánovač, kalkulačku, poznámkový blok nebo světový čas. Zajímavé je, že společnost IBM pro tento telefon vyvinula placenou aplikaci DispatchIt, která umožňovala firmám vzdálený přístup k databázím zákazníků a řídit zaměstnance v terénu.

Cena této aplikace byla přitom vyšší než cena samotného telefonu. Využíval operační systém ROM-DOS, který byl kompatibilní s MS-DOS. Cena přístroje byla na tehdejší dobu poměrně vysoká, v přepočtu 17 tisíc Kč při závazku na dva roky nebo 21 tisíc Kč bez závazku.

Zajímavý je výrazný pokles podílu JS/Danger.ScriptAttachment, který už druhým rokem v našich statistikách měsíc, co měsíc vedl. Nabízí se vysvětlení, že přestává fungovat tento distribuční mechanismus, tudíž od něj útočníci upouští a budou se snažit najít jiný způsob.

Již loni jsme ve stejném průzkumu zaznamenali výrazný nepoměr mezi podílem studentů, kteří vlastní smartphone a těmi, co na něm mají nainstalovaný bezpečnostní software. Letos si mobilní telefon chrání ještě menší část studentů. Je zajímavé, že u stolních počítačů a notebooků si studenti na používání bezpečnostního softwaru zvykli.

Počítače chrání 84% a notebooky dokonce 87% z nich. Potenciální hrozby ale míří na všechna zařízení a vzhledem k postupnému přesunu uživatelů na mobilní zařízení roste riziko infekce škodlivými kódy právě u chytrých telefonů a tabletů.

Nové i inovované bezpečnostní funkce, například UEFI skener či ochrana proti ransomware, přináší nejvyšší míru ochrany uživatelů vůči internetovým hrozbám. Přestože stále rozšiřujeme bezpečnostní technologie, daří se nám zachovávat největší výhody našich produktů.

Těmi jsou minimální nároky na počítačový systém, vysokou míru detekce hrozeb a stabilitu.

JS/Danger.ScriptAttachment detekujeme již více než rok jako nejčetnější hrozbu, jejíž podíl se v jednotlivých měsících mění, ale neustále se drží na první příčce mezi nebezpečnými kódy. Zákeřnost tohoto kódu spočívá především v tom, že dokáže do napadeného zařízení stahovat malware, aniž by si toho uživatel všiml.

Nejnebezpečnější v tomto ohledu může být ransomware, který zašifruje obsah napadeného zařízení a požaduje po oběti výkupné za opětovné zpřístupnění dat. Oproti červenci podíl JS/Danger.ScriptAttachment na celkových hrozbách vzrostl o 6,5 procentního bodu na 24,01%.

Nárůst detekcí trojského koně JS/Chromex.Submeliux může souviset s obdobím prázdnin. Právě v této době více uživatelů využívá neoficiální streamovací služby a stahuje si nabízené pluginy. Pluginy však mají naprosto opačný efekt. Navíc mohou do napadeného zařízení instalovat downloader. Nejčetnější internetovou hrozbou zůstává JS/Danger.ScriptAttachment.

Tento škodlivý kód se šíří především prostřednictvím příloh nevyžádaných e-mailů. Neškodí jen sám o sobě, dokáže do napadeného zařízení stáhnout další škodlivé kódy včetně vyděračského ransomware, který zašifruje obsah zařízení a požaduje po oběti výkupné.

Chromex se šíří prostřednictvím neoficiálních streamovacích služeb a poprvé jsme před ním varovali letos v dubnu. Vvyužívá například popularity neoficiálních streamovacích služeb na internetu a uživatelům nabízí instalaci škodlivých pluginů, které často slibují zrychlení načítání internetových stránek, ale ve skutečnosti způsobují opak.

Uživatelé na ně narazí i na streamovacích stránkách s českou nebo slovenskou doménou.

Zpětná analýza potvrdila naše dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě - hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně.

Téměř desetinu detekovaných hrozeb představoval adware AztecMedia. Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou. Tento adware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.

Útočníci používají k šíření odkazů na podvodné stránky kompromitované facebookové účty českých uživatelů. Domníváme se, že některé weby byly dokonce vytvořeny speciálně pro Čechy, i když většina obsahu je v angličtině. Naznačuje to doména .cz v samotných URL adresách. Uživatelé Facebooku, kteří na svých profilech tyto podvodné weby propagují, o tom vůbec netuší. Útočník do jejich alba vloží několik fotografií s reklamou na podvodné weby a zároveň v obrázku označí několik přátel z kontaktů daného uživatele.

V závislosti na nastavení jejich soukromí se následně obrázky s reklamou zobrazí i kontaktům označených lidí. Pokud jste se s takovými fotografiemi na Facebooku setkali, určitě kontaktujte člověka, který je šíří. Sám o tom nemusí vůbec vědět. Tento člověk by si měl zkontrolovat antivirovou ochranou svůj počítač či mobilní zařízení a až následně změnit heslo k účtům na sociálních sítích.

JS/Chromex.Submelius je algoritmická detekce chytající agresivní nabídky instalace Chrome doplňků. Za instalací se může skrývat i malware downloader. Chromex může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem.

Ten je obvykle vložen do HTML a může zobrazovat falešná chybová hlášení typu: Chcete-li pokračovat v práci s prohlížečem, měli byste si nainstalovat rozšíření.

Všichni, kdo se stali obětí krádeže přes internet, používají dvoustupňové ověření. Z průzkumu není zcela zřejmé, zdali ho začali používat po své zkušenosti s krádeží, anebo ho používali už v době krádeže. Polovina lidí se při využívání e-shopů registruje. Pokud tak činí, používají ale většinou stejné nebo podobné přihlašovací údaje jako u jiných internetových účtů.

Využívání stejných hesel pro různé online účty je pak z bezpečnostního hlediska velmi riskantní. Stačí, aby útočník pronikl do jedné ze služeb, například podvodně získal přihlašovací údaje k účtu na sociální síti, a může uživateli způsobit nedozírné škody.

Danger je klasickým downloaderem, který může do napadeného zařízení stahovat další malware a různé druhy škodlivých kódů včetně ransomware. Z pohledu uživatele a prevence je důležité být obezřetný a neotevírat každou přílohu, zvláště pokud je vám odesílatel či samotný e-mail podezřelý.

Fakt, že se Danger v České republice drží tak dlouho na výsluní, dokládá, že jde o účinný malware, pomocí kterého si útočníci stále dokáží najít dost obětí.

V lednu jsme zaznamenali výrazný pokles detekcí tohoto malware. Z měsíce na měsíc se snížil o 40 procentních bodů. V únoru se však podíl downloaderu Danger na celkových internetových hrozbách začal znovu zvyšovat až na více než 20%. Adwind funguje jako zadní vrátka.

To znamená, že odesílá informace o napadeném systému a přijímá příkazy od vzdáleného útočníka. Může jít například o zobrazení zprávy v systému, otevření konkrétní internetové stránky, aktualizaci malware nebo stažení a spuštění nějakého souboru.

Pokles podílu downloaderu Danger je opravdu významný. V prosinci 2016 představoval téměř každou druhou zaznamenanou hrozbu, v lednu jen každou desátou. Zjistili jsme však významný nárůst výskytu různých typů malware rodiny TrojanDownloader. Stejně jako v případě Dangeru jde, ostatně jak už sám název napovídá, o kód snažící do napadeného zařízení nahrát další škodlivé kódy. Downloadery jsou nebezpečné v tom, že mohou do napadeného počítače instalovat v podstatě jakýkoliv další malware.

Stále častěji se jedná o vyděračský ransomware, prostřednictvím kterého útočníci zašifrují soubory a požadují po oběti zaplacení výkupného. Oběť ale nemá jistotu, zda se po uhrazení částky, která se pohybuje v řádu jednotek až desítek tisíc korun, ke svým souborům skutečně dostane. Útočníci požadují platby výhradně v elektronické měně Bitcoin.

KillDisk je příkladem toho, proč by se nemělo v podobných případech platit výkupné. Při vyjednávání se zločinci nemáte žádnou záruku, že dostanete vaše data zpět. V tomto případě tvůrci ransomware KillDisk neměli vůbec v úmyslu dostát svým slibům. V jejich škodlivém kódu chybí jakýkoli nástroj pro odšifrování napadených dat. Jediný bezpečný způsob, jak se vypořádat s hrozbou ransomware, je prevence. Edukace, aktualizace a záplatování používaných programů a používání prověřených bezpečnostních řešení, zálohování dat a testování schopnosti jejich obnovy - to vše je součástí opravdové prevence.

Konkrétní slabinu, která nám dává možnost pomoci napadeným uživatelům, z pochopitelných důvodů zmiňovat nemůžeme. Pokud by se však kdokoliv setkal s touto nákazou, doporučuji kontaktovat linku naší technické podpory, kde uživatele spojíme s našimi specialisty na tuto problematiku.

Ochrana před ransomware umožňuje pokročilé sledování a vyhodnocování všech spuštěných aplikací pomocí behaviorální heuristiky. Aktivně blokuje známé typy chování, které se nápadně podobají činnosti ransomware.

Kromě toho také může blokovat úpravy stávajících souborů, tj. jejich šifrování.

Síť Avalanche byla tzv. stále se měnící sítí, která se skládala z napadených počítačů, jež fungovaly jako proxy servery. Tato technika výrazně znesnadňuje mapování infrastruktury útočníka a identifikaci skutečného Command & Control serveru.

Pomocí bezplatného nástroje ESET Online Scanner odstraníte veškerý škodlivý obsah nalezený v systému počítače.

Nárůst počtu případů JS/Danger.ScriptAttachment je opravdu mimořádný. Tento malware je zákeřný v tom, že nemusí být nebezpečný sám o sobě, ale do napadeného zařízení stahuje další škodlivé kódy včetně ransomware, který dokáže zašifrovat data a požadují po uživateli výkupné.

Všechny další hrozby zaznamenané v listopadu vykázaly ve srovnání s Danger zanedbatelných podílů - druhý nejčetnější malware, trojan FakejQuery, představoval jen 2,56% detekcí.

Ve svých mobilních telefonech máme mnohdy celou řadu osobních i pracovních dat. E-maily, fotografie, kontakty, bankovní aplikace a podobně. Zámek displeje je to nejmenší, co bychom měli udělat pro jejich ochranu. Odpovědný uživatel by měl rovněž zvážit instalaci nástroje, který v případě krádeže mobilního telefonu jej umí na dálku lokalizovat, zablokovat či vzdáleně smazat osobní data. Nezapomínejme, že telefon je rovněž nejčastějším nástrojem pro dvoufaktorovou autentizaci při online bankovnictví.

Jeho zcizení může v krajním případě způsobit násobně vyšší finanční ztráty, než je pouze cena zařízení. Neustále sledujeme nárůst malware zaměřený na mobilní platformy. Nejohroženější jsou uživatelé chytrých telefonů s operačním systémem Android. Hrozbou s nejvyšším podílem je tzv. adware a spyware. Spolu s tím sledujeme v poslední době nárůst ransomware, který způsobí zamknutí telefonu či zašifrování uživatelských dat. Za jejich zpřístupnění poté útočníci vyžadují výkupné.

Výsledkem infekce je, že škodlivý kód modifikuje stránku internetového bankovnictví, jež se zobrazuje klientovi banky v jeho prohlížeči a následně se pokouší sbírat přihlašovací údaje oběti.

V některých případech ho naláká i na to, aby na své mobilní zařízení nainstaloval mobilní kompomentu tohoto škodlivého kódu, kterou detekujeme jako Android/Spy.Banker.EZ.

Rozhodně se nedá říci, že by nebezpečí JS/Danger.ScriptAttachment polevovalo. Nadále zůstává s velkým náskokem největší hrozbou. Do napadeného zařízení dokáže stáhnout další škodlivé kódy, což z něj činí ještě zákeřnějšího nepřítele.

Na podobném principu pracuje i další downloader Nemucod, který byl v říjnu 2016 druhou nejčastěji zaznamenanou internetovou hrozbou. I jeho podíl ale oproti září viditelně klesl, a to o devět procentních bodů na hodnotu 12,32%.

ESET Smart Security Premium představuje komplexní nástroj internetové ochrany pro domácí uživatele. Sestává se z celé řady funkcí, které uživateli poskytují silnou vícevrstvou ochranu.

Přináší zcela novou integrovanou funkci šifrování dat u zařízení s operačním systémem Windows a bezpečným uložením a správou přístupových hesel.

Náhlý nárůst počtu případů infiltrace JS/Kilim.SO a JS/Kilim.RG si vysvětlujeme snížením povědomí o této hrozbě mezi uživateli sociální sítě Facebook. Při jejich polevení v ostražitosti, následuje opětovný růst počtu infekcí. Je třeba, aby uživatelé o těchto hrozbách věděli a byli ostražitější.

Škodlivá kampaň zatím cílí pouze na uživatele internetového prohlížeče Google Chrome. Nelze však vyloučit, že se v budoucnu útočníci zaměří i na jiné prohlížeče.

JS/Danger.ScriptAttachment je klasický downloader, který do napadeného zařízení stahuje další škodlivé kódy, velmi často ransomware, jež zařízení zašifrují a poté po obětech požadují výkupné.

Malware Nemucod byl během letošního roku použit při několika kampaních a koncem března dosáhl 24-procentního podílu v celosvětové detekci škodlivých kódů.

Pokud na odkaz na formulář administrátor stránky na Facebooku klikne, čeká ho série kroků, během nichž se ho útočníci snaží přimět k vložení svých přihlašovacích údajů, zodpovězení bezpečnostní otázky a zadání údajů o platební kartě. Po jejich odeslání však veškerá data putují přímo k útočníkovi. To všechno dělá útočník pod hlavičkou facebookové skupiny nazvané Security, která u oběti vyvolává dojem, že jde o oficiální varování.

Motivací útočníka mohou být finanční prostředky z platebních karet nebo prodej získané facebookové stránky s vysokým počtem fanoušků, ke které administrátor ztratil přístup. Prostřednictvím skupin s velkým počtem členů je možné šířit spam, reklamu či hoax, tedy poplašné zprávy, jak jsme informovali už v případě falešných reklam na zlevněné brýle Ray-Ban.

Podle našich dlouhodobých poznatků jsou zařízení využívající operační systém Android díky jeho dominanci na trhu mnohem více v hledáčku kybernetických zločinců. Antivirové programy přitom toto riziko dokážou účinně eliminovat.

Při využívání služeb veřejných WiFi sítí pro přístup k internetu, musíme vždy mít na paměti, že nemáme jistotu, zda je přístupový bod opravdu plně pod kontrolou svého vlastníka a nedochází k manipulaci datového provozu. Proto je potřeba chovat se obezřetně.

Důvodem, proč je JS/Danger.ScriptAttachment stále na čele našich statistik, je pravděpodobně skutečnost, že se jedná o stále efektivní způsob infiltrace počítače a zároveň se jedná o generickou detekci. V takovém případě je detekována nikoliv konkrétní verze javascriptu, ale jde o detekci celé rodiny sloužících jako downloadery pro ransomware. Danger přitom neškodí jen sám o sobě.

Do napadeného zařízení ale dokáže stáhnout další druhy škodlivých kódů, mezi nimiž převládá ransomware. Ten dokáže napadené zařízení zašifrovat a od oběti požaduje výkupné. Teprve po jeho zaplacení je přístroj odblokován. Napadený uživatel však nikdy nemá jistotu, že po zaplacení výkupného bude jeho zařízení skutečně odšifrováno.