Za polovinou dubnových kyberútoků v Česku je Spyware

Škodlivý kód, který ohrožuje hesla, je v Česku dlouhodobě největším rizikem - zaměřuje se zejména na hesla uložená v prohlížečích. Tento typ malware označují odborníci často jako password stealer, šíří se spamovými kampaněmi, a to jak v českém, tak anglickém jazyce.

Nejvážnější kybernetickou hrozbou byly v dubnu 2021 trojské koně, které dokáží odcizit přihlašovací údaje k různým online službám - tento škodlivý kód za více než polovinou detekcí. Malware si zpravidla stáhne uživatel do počítače z infikované přílohy.

S ukradenými daty pak útočníci obchodují na darknetu. Odborníci ESETu proto doporučují využívat spíše speciální programy pro správu hesel.

Za celou čtvrtinou incidentů stál trojský kůň Fareit - jedná se o typického zástupce password stealerů. Analytici společnosti ESET zachytili 6. 4. 2021 kampaň cílenou speciálně na Českou republiku.

Fareit se zaměřuje na hesla uložená v prohlížečích pro automatické vyplňování. Přihlašovací údaje pak útočníci využívají pro odcizení přístupu k účtům, šíření dalšího malware nebo prodeji.

Útočníci stojící za touto hrozbou nesázejí na jednu kampaň, ale využívají několik e-mailů v různých jazykových verzích, kterými škodlivý kód šíří.

Podobně jako v předchozím měsíci je možné jej stáhnout z příloh, jejichž názvy kombinují jména existujících společností a generického dokumentu například FIRMA a.s.-Swift-01-04-2021scan.exe.

Dalším trojským koněm, který ohrožoval české uživatele byl Spy.Agent.AES (známý také jako Agent-Tesla). Analytici zachytili celkem dva útoky směřované na Česko a to 6. a 14. 4. 2021. Podle dat se malware objevoval především v příloze FAKTURA.exe.

Spy.Agent.AES je ve světe velice rozšířený. Nejvýraznější je v Turecku, Chorvatsku, Japonsku, Španělsku a Portugalsku. Na tomto výčtu je zřejmé o jak závažnou hrozbu jde.

Jakmile je Spy.Agent.AES aktivní, skenuje prohlížeče a útočníkům odesílá přihlašovací údaje k online službám.

Ochrana hesel se stává nutností

"Všimněme si, že nejčastěji se v dubnu 2021 hrozby vyskytovaly v souborech s koncovkou .exe. Operační systém Windows někdy tuto koncovku skrývá a spustitelný program .exe, tak může vypadat například jako neškodný dokument. Apeloval bych proto na uživatele, aby ke všem zprávám ve svém e-mailu přistupovali obezřetně a přílohu nejprve ověřili, než ji otevřou. Proto je mnohem vhodnější používat speciální program, takzvaný správce hesel. Doporučil bych také využívání dvou faktorového ověření pomocí aplikace či kódu v SMS, kdykoliv je to možné. Tento krok vás ochrání před odcizením celého účtu v případě, že útočník nějaké vaše heslo získá," říká Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET.

Experti také varují před ukládáním hesel v počítači či v prohlížeči. Takto uložené přihlašovací údaje jsou pro útočníky snadný terč. Pomoci mohou i spolehlivá hesla, která není snadné prolomit.

Existují dvě možnosti, jak takové heslo vytvořit:

• Řetězec znaků kombinující malá a velká písmena, číslice i speciální znaky
• Heslové fráze, které se uživateli dobře pamatují

Heslová fráze by měla být delší, ale naopak nemusí obsahovat speciální znaky, navíc je možní ji tvořit tak, aby se uživateli dobře pamatovala.

Součástí prevence by mělo být také dodržování obecných bezpečnostních pravidel, jako jsou pravidelné aktualizace a instalace anti-malware programu, který dokáže škodlivý kód spolehlivě odhalit.

Kyberútoky jsou k pronájmu

Třetím výrazným zástupcem password stealerů u nás je Formbook. I v tomto případě zachytili experti kampaně mířené proti Česku, probíhaly 6. a 12. 4. 2021. Uživatelé si jej mohli nedopatřením stáhnout z příloh s názvy Image001.exe a TT COPY.exe nebo v přílohách, které útočníci vydávali za bankovní operace - tedy různé výpisy, faktury a podobně.

Je zajímavé, že všechny tři nejčastější hrozby zaútočily na Česko v jediný den. Bohužel se u takto krátké jednodenní operace nedá přesně určit proč. U password stealerů je běžné, že si útok můžete zakoupit na darknetu jako službu, včetně distribuce - je tedy možné, že si všechny tři kódy koupil jeden útočník a zkoušel, který bude nejefektivnější.

Nebo se jedna skupina útočníků pokouší útoky diverzifikovat a vytěžit tak ze zranitelných uživatelů maximum. Mohlo však jít i o shodu okolností.

Nejčastější kybernetické hrozby v České republice za duben 2021:

1. Win32/PSW.Fareit trojan - 24,88%
2. MSIL/Spy.Agent.AES trojan - 16,98%
3. Win32/Formbook trojan - 12,63%
4. MSIL/Bladabindi trojan - 3,42%
5. PHP/Webshell trojan - 2,50%
6. MSIL/CoinMiner.BIP trojan - 2,22%
7. BAT/CoinMiner.ARV trojan - 0,81%
8. MSIL/Autorun.Spy.Agent.DF worm - 0,78%
9. Win32/AutoRun.Delf.LV worm - 0,76%
10. Java/Adwind trojan - 0,73%

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Článek ze dne 6. května 2021 - čtvrtek

Další články od ESET software spol. s r. o.