Útoky na hesla z prohlížečů jsou pro české uživatele největším rizikem

Nejčastějšími hrozbami pro české uživatele byly v lednu trojské koně. V případě malware Fareit zaznamenali analytici ESETu první pokusy útočit i v českém jazyce. Nejčastější hrozbou je i nadále trojan Spy.Agent.AES.

Nejčastější hrozbou byl v lednu 2020 i nadále trojský kůň Spy.Agent.AES, a to i přesto, že počet jeho detekcí klesl od prosince 2019 na polovinu. Útočníci jej zneužívali k získání hesel uložených v internetových prohlížečích.

"Operátoři Spy.Agentu za sebou mají velmi aktivní konec roku 2019, útočili především v první polovině prosince, kdy si ještě lidé nevybírali dovolené. V lednu 2020 tedy jejich aktivity oslabily, zřejmě si také dopřávají odpočinek. Nicméně lze očekávat, že se situace brzy vrátí do normálu a detekce tohoto trojského koně zase stoupnou. Spy.Agent se šíří především spamem. Začátkem ledna jsme zaznamenali snahu maskovat tento malware jako e-mail ze zásilkových služeb, dříve pro něj byly typické zprávy od finančních institucí s infikovanými fakturami v příloze. Maskovat malware jako oznámení o doručení zásilky je velmi efektivní, každý je zvědavý kdo vám co posílá a snáze tak napálíte i obezřetné uživatele. Navíc není nutné překládat text zprávy, protože balíčky ze zahraničí jsou dnes zcela běžné," říká Martin Jirkal, vedoucí analytického oddělení v pražské pobočce firmy ESET.

Ukázka pro spamový e-mail - zásilka

Dobrý den, Váš balíček dorazil do našeho skladu 23. ledna 2020 roku v 12:15 ráno. Číslo sledování zásilky-0129079 Náš kurýr bohužel nemohl doručit zásilku na vaši adresu kvůli nesprávným nebo neúplným informacím v adrese. Zdá se, že v celním prohlášení došlo k chybě. Informovali jsme odesílatele a on nám předal vaši e-mailovou adresu, abychom mohli tento problém vyřešit co nejdříve. Abychom mohli doručit váš balíček, musíte potvrdit adresu. Za tímto účelem si stáhněte dokument připojený k tomuto dopisu, vyplňte ho a pošlete nám ho. S úctou, Kamila Jurčíková.

připojený infikovaný soubor fa001164096.doc => VBA/TrojanDropper.Agent.ATP trojský kůň
e-mail z adresy rosy[zavinac]casaitaliaong.org

Ukázka pro spamový e-mail - dluh

Dobrý den, Po prostudování dokumentů za 2019 rok jsme zjistili, že jste nezaplatili dluh za žádost č. #07281342 částka 21474,00 Kč která musela být zaplacena 15. prosince 2019 roku. My věříme, že je to jen opomenutí a vy vnesete tuto částku jakmile uvidíte toto oznámení. Pokud jste již zaplatili tuto dluh, buďte laskaví dejte nám vědět co nejdříve informace v datu a způsobu placení. Přeji vám vše nejlepší, Klára Eerveoáková

připojený infikovaný soubor FT00-5162848.doc => VBA/TrojanDropper.Agent.ATZ trojský kůň
e-mail z adresy admin[zavinac]wholeinfluence.network

Další hrozby

Druhou nejčastější hrozbou po novém roce byl trojský kůň Fareit. Tento malware útočníci zneužívají k odcizení hesel z internetových prohlížečů Chrome, Firefox, Opera či Internet Explorer.

Operátoři, kteří za Fareitem stojí, začali od poloviny ledna útočit pomocí e-mailových zpráv v češtině. Malware se šířil spamovou kampaní, formou přílohy zpráv s názvy jako Cenová poptávka 2019.pdf.exe apod.

Na třetí příčce se drží s 3% podílem na detekcích backdoor Adwind. Tento malware je specifický svou multiplatformitou, tedy faktem, že útočí na různé operační systémy.

Jakmile je backdoor aktivní, je schopen odcizit informace o uživateli, nebo je možné zařízení uživatele zneužít k distribuci dalšího škodlivého kódu.

Adwind vyvíjejí útočníci na Blízkém Východě a jeho operátoři se také pokoušejí využívat češtinu - viz např. infikovaná příloha s názvem Návrh _CZ_5884_DB_2017-09-11_ filtroval_CZ.jar - je zde ale uvedeno chybné datum.

Všechny zmíněné hrozby míří spíše na nepozorné uživatele, jak ostatně dokládá chybné datum v případě kampaní Adwindu.

Odborníci proto radí uživatelům, aby byli obezřetní při otevírání jakýchkoli zpráv od neznámých odesílatelů.

Nejčastější kybernetické hrozby v České republice za leden 2020: