Martin Jirkal

Vedoucí analytického oddělení pražské pobočy ESET

Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací.

Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID.

To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat.

Martin Jirkal

Vedoucí analytického oddělení pražské pobočy ESET

Po kliknutí na podvodný odkaz - Jsi to ty na videu? - jsou uživatelé přesměrováni na další webový obsah, a to v závislosti na operačním systému - Android, iOS, macOS, Windows, na kterém zrovna chatovací aplikaci používají, nebo zemi, ze které k obsahu přistupují.

V případě mobilního zařízení se s největší pravděpodobností jedná o podvodnou a zavádějící propagaci aplikace Express VPN nebo VPN Super Speed. Uživateli se může po kliknutí na odkaz otevřít stránka podobná přehrávači YouTube, uživatel je ale pro shlédnutí videa vyzván k instalaci právě této aplikace.

Alternativně může dojít k přesměrování na zavádějící herní nebo výherní portály s povinnou registrací. Pokud uživatel projeví zájem o tuto službu, je přinucen uhradit fixní týdenní poplatek formou pravidelné SMS.

Martin Jirkal

Vedoucí analytického oddělení pražské pobočy ESET

Z dat, která máme k dispozici, můžeme skutečně vyčíst narůstající trend phishingových kampaní. Jde o metodu, kdy se útočník vydává za důvěryhodnou autoritu s cílem získat citlivá data oběti.

Takový způsob útoku označujeme jako sociální inženýrství a vedle útoků prostřednictvím malwaru, jako jsou infostealery nebo ransomware, se již dnes jedná o jednu z nejčastějších strategií, jak zaútočit na citlivá data domácích i firemních uživatelů.

Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

Kryptoměny budou nadále jednou z hlavních oblastí, přes kterou mohou útočníci monetizovat, budou využívány pro různé podvody jako je phishing, vishing atd. Pravděpodobně budeme často vídat pokusy ukrást přístupy k peněženkám nebo k účtům na burzách a podvodné investice do kryptoměn. Celkově se v roce 2023 budeme setkávat se stálými hrozbami, neočekáváme výrazné změny trendu.

Nadále porostou phishingové útoky, jako byly letos např. podvody na online bazarech, a poroste tak potřeba, aby byl i běžný uživatel internetu stále informovanější a opatrnější. Dominovat budou nadále infostealery jako jsou spywary nebo password stealery a můžeme počítat i se sofistikovanými útoky na firmy prostřednicvtím ransomwaru.

Rizikem zůstávají také útoky typu dodavatelský řetězec nebo penetrační průniky přes zranitelnosti s komplexním vytěžením informací, strojového času apod. v infikované společnosti.

Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

Letecký a obranný průmysl je i nadále předmětem zájmu severokorejských skupin. Skupina Lazarus se např. zaměřila na zaměstnance letecké společnosti v Nizozemsku. Odhalili jsme, že skupina zneužila zranitelnost v legitimním ovladači Dell k infiltraci do společnosti a domníváme se, že se jedná o vůbec první zaznamenané reálné zneužití této zranitelnosti.

Připsat útok konkrétní skupině, o které víme, že je navíc napojena na konkrétní stát, je vždy velmi komplikované. Kybernetické útoky zpravidla nerespektují státní hranice a snahou útočníků je udělat všechno proto, aby útok nešlo zpětně vystopovat a vyšetřit.

Na druhou stranu jsou tady útočné skupiny, o jejichž aktivitách máme díky našemu dlouholetému výzkumu již mnoho informací. A právě na ně se v našich pravidelných zprávách nyní zaměříme.