Ignacio Sbampato | |
Obchodní ředitel společnosti ESET | |
  | Těší nás, že nás organizace IDC zařadila mezi dodavatele, kteří utvářeli rok v oblasti moderní bezpečnosti koncových zařízení. Svědčí to o naší přetrvávající snaze poskytovat našim zákazníkům výhody, které plynou z našich dlouholetých zkušeností v oboru, finanční stability a technických schopností. Jako soukromě vlastněná technologická společnost jsme vždy uplatňovali přístup založený na vědeckých poznatcích, při kterém je na prvním místě bezpečnost zákazníků. Díky těmto aspektům, včasnému zavedení strojového učení a výkonu cloud computingu dokážeme vyvíjet naše globální řešení pro sledování hrozeb. |
Vladislav Hrčka | |
Výzkumný analytik společnosti ESET | |
 | Technicky přesně lze detekovaný útok popsat následovně - Wslink, který obsahuje soubor s názvem WinorLoaderDLL64.dll, je loader binárních souborů systému Windows, který funguje jako server a spouští přijaté moduly v paměti. Jedná se tak o univerzální jádro čekající na napadeném zařízení na dodání dalšího škodlivého kódu, který pak provede konkrétní, závadnou akci, tedy vpuštění vlastního malwaru do již napadeného systému. Díky své modularitě a schopnosti stáhnout a zavést další modul může být později využíván také k dalším krokům. Wslink naslouchá na portu uvedeném v konfiguraci a může obsluhovat další připojující se klienty a načítat další škodlivé kódy. Tyto útoky jsou velmi pokročilé a nákladné na přípravu, obvykle jsou tak vedeny skupinami, které jsou napojeny na státní aktéry. To, že jsme útok detekovali také v České republice, jasně vypovídá o tom, že ani pokročilé hrozby se Česku nevyhýbají. |
27.02.23-PO Nové aktivity APT skupiny Lazarus | |
Martin Jirkal | |
Vedoucí analytického oddělení pražské pobočy ESET | |
 | Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací. Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat. |
Martin Jirkal | |
Vedoucí analytického oddělení pražské pobočy ESET | |
| Po kliknutí na podvodný odkaz - Jsi to ty na videu? - jsou uživatelé přesměrováni na další webový obsah, a to v závislosti na operačním systému - Android, iOS, macOS, Windows, na kterém zrovna chatovací aplikaci používají, nebo zemi, ze které k obsahu přistupují. V případě mobilního zařízení se s největší pravděpodobností jedná o podvodnou a zavádějící propagaci aplikace Express VPN nebo VPN Super Speed. Uživateli se může po kliknutí na odkaz otevřít stránka podobná přehrávači YouTube, uživatel je ale pro shlédnutí videa vyzván k instalaci právě této aplikace. Alternativně může dojít k přesměrování na zavádějící herní nebo výherní portály s povinnou registrací. Pokud uživatel projeví zájem o tuto službu, je přinucen uhradit fixní týdenní poplatek formou pravidelné SMS. |
Martin Jirkal | |
Vedoucí analytického oddělení pražské pobočy ESET | |
| Z dat, která máme k dispozici, můžeme skutečně vyčíst narůstající trend phishingových kampaní. Jde o metodu, kdy se útočník vydává za důvěryhodnou autoritu s cílem získat citlivá data oběti. Takový způsob útoku označujeme jako sociální inženýrství a vedle útoků prostřednictvím malwaru, jako jsou infostealery nebo ransomware, se již dnes jedná o jednu z nejčastějších strategií, jak zaútočit na citlivá data domácích i firemních uživatelů. |
02.01.23-PO Shrnutí vývoje kybernetických hrozeb v roce 2022 | |
