logo ESET software spol. s r. o.
Martin Jirkal

Martin Jirkal

Vedoucí analytického oddělení pražské pobočy ESET

LinkedIn

Všimněme si, že nejčastěji se v dubnu 2021 hrozby vyskytovaly v souborech s koncovkou .exe. Operační systém Windows někdy tuto koncovku skrývá a spustitelný program .exe, tak může vypadat například jako neškodný dokument. Apeloval bych proto na uživatele, aby ke všem zprávám ve svém e-mailu přistupovali obezřetně a přílohu nejprve ověřili, než ji otevřou.

Proto je mnohem vhodnější používat speciální program, takzvaný správce hesel. Doporučil bych také využívání dvou faktorového ověření pomocí aplikace či kódu v SMS, kdykoliv je to možné. Tento krok vás ochrání před odcizením celého účtu v případě, že útočník nějaké vaše heslo získá.

Tyto škodlivé aplikace označujeme jako droppery. Mají jediný úkol a tím je instalovat do zařízení další škodlivý kód. Celkově jejich počet vzrostl o více než 10%. Nejčastěji instalují bankovního trojského koně Cerberus, který představuje riziko při placení online.

Droppery pocházejí z neoficiálních zdrojů, jako jsou fóra nebo různé webové stránky. Zachytili jsme široké spektrum aplikací, které malware šíří. Útočníci je vydávají za běžné nástroje, od běžných nástrojů až po volnočasové hry či aplikace pro správu chytrých vozů.

Zástupci malware typu dropper skončili v březnu 2021 na prvním a druhém místě v přehledu detekcí.

Právě příloha s koncovkou .exe, která značí spustitelný program, by měla být varovným signálem. V tomto případě se jedná se o program, který když spustíte, nainstaluje škodlivý kód. Běžné dokumenty by měly být například ve formátu .doc nebo .pdf. Důrazně bych varoval uživatele, aby podobné soubory s koncovkou .exe nestahovali nejen z e-mailů, ale obecně z jakýchkoli nedůvěryhodných zdrojů.

Operační systém Windows ve výchozím stavu koncovky nezobrazuje, čehož útočníci zneužívají zdvojením koncovky - např. faktura.doc.exe. Windows uživateli zobrazí pouze koncovku .doc, takže uživatel může získat pocit falešného bezpečí.

Dropper je typ malware, který si uživatel nevědomky nainstaluje spolu s nějakou aplikací. Škodlivý kód poté rozbalí samotný, mohli bychom říct, náklad, v tomto případě bankovního trojského koně Cerberus. V detekcích vidíme jiný stejnojmenný malware, jde ale o stalkerware Cerberus, který slouží ke špehování digitálních aktivit.

Stejný název vznikl shodou okolností, jedná se o zcela jiný typ malware, obě detekce byly pojmenovány v jiných letech. Navíc různé analytické laboratoře mají vlastní metodiky pro pojmenování nových typů škodlivého kódu.

V telemetrických datech vidíme výkyvy 5., 9., 18. a 25. 2. 2021. V těchto dnech tedy útočníci rozesílali větší množství spamu, v jehož příloze se skrýval malware Formbook. Pokud by podobně silné kampaně pokračovaly i v březnu, je možné že se právě Formbook stane nejčastěji detekovaným malwarem v České republice.

Formbook je dalším typem spyware. Podobně jako Spy.Agent.AES se zaměřuje na odcizení přihlašovacích jmen a hesel uložených v prohlížečích. Obě hrozby mají společné také to, že je lze zakoupit na černém trhu jako službu.

Lze si pronajmout škodlivý kód, místo na serveru, a dokonce i distribuci. Kybernetický zločin je tímto dostupný i pro méně technicky zdatné útočníky. Společné mají také šíření v e-mailových přílohách.

Kód Formbooku se šíří nejčastěji v příloze s názvem Credit Card & Booking details.exe, což naznačuje, že e-mail se snaží předstírat rezervaci dovolené. Podobná strategie je v současné době velmi překvapivá.

V lednu 2021 se do popředí detekčních statistik hrozeb pro Android dostaly takzvané droppery - jde o malware s jedinou funkcí - instalovat do zařízení jiný škodlivý kód. Dominoval především TrojanDropper.Agent.EHK. Tento malware slouží jako prostředník pro stažení a spuštění mnohem nebezpečnějšího škodlivého kódu.

V Česku instaluje především bankovní malware Cerberus. Jde o kód, který obsahuje funkce pro obcházení verifikace plateb při placení online a slouží k okradení obětí.

Útočníci zřejmě sázeli na to, že všichni budeme nakupovat dárky na internetu a jejich škodlivá zpráva zapadne mezi další, ať už vinou stresu nebo jen nepozornosti. Spy.Agent.AES je malware, který dokáže odcizit hesla uživatele uložená v běžných prohlížečích.

Hesla mají totiž na černém trhu obrovskou hodnotu, proto jsou útoky na ně v Česku dlouhodobě nejvážnější problém.

FormBook je velmi nebezpečný, jde v podstatě o podnikatelský projekt. Vývojáři jej nabízejí na černém trhu jako službu k pronájmu, tím se otevírá prostor pro kriminální činnost i těm, kteří by jinak kybernetické útoky po technické stránce nezvládli. Infikované e-maily, které šíří FormBook, byly prozatím v angličtině a pro uživatele je tak snazší podvod odhalit.

Apeloval bych proto na uživatele, aby svá hesla pečlivě chránili a rozhodně je ve svých zařízeních ukládali pouze dostatečně bezpečným způsobem, jaký představují specializované aplikace tzv. správci hesel. Ze statistik je zřejmé, že jsou hesla cílem zločinců dlouhodobě a nelze očekávat, že tento typ útoků z internetu zmizí.

Funkce těchto aplikací nejsou apriori škodlivé. Jako stalkerware označujeme aplikace, které lze zneužít ke špehování uživatele bez jeho vědomí. Taková aplikace pak může třeba číst SMS, zaznamenávat hesla, sledovat polohu, sledovat hovory a podobně. Dříve tyto aplikace řada bezpečnostních společností označovala jen jako potenciálně nechtěné.

Nicméně jejich zneužívání překročilo únosnou míru, takže bylo nutné riziko překvalifikovat. Naše detekční pravidla jsou nastavena tak, aby chránila vlastníka zařízení, proto považuji za nutné na stalkerware upozornit.

Spy.Agent.AUS je novější a schopnější variantou rodiny malware Spy.Agent. Minulý rok ohrožovala české uživatele jiná verze tohoto malware s koncovkou .AES, ta ale poslední měsíce slábne. Útočníci zneužívají situaci, kdy řada lidí pracuje z home office. Z funkcí trojského koně je patrné, že se zaměřili na služby pro vzdálenou práci, ať už jde o e-maily a komunikační služby či FTP servery, kde firmy ukládají sdílená data.

Domácí sítě bývají obecně hůře zabezpečené, je tedy možné, že nynější karanténní opatření jim v tomto ohledu usnadňují práci.

Útok zneužívající zranitelnost KR00K se pro uživatele projevuje jako odpojení od WiFi.

Pokud je útok úspěšný, může se útočník dostat k několika kilobajtům dat, které mohou obsahovat nejcitlivější údaje, jako například hesla.

V případě škodlivého kódu pro Android nevidíme žádné výpadky v detekcích po Novém roce, jak tomu bývá například u malware zaměřeného na klasické počítače. Je to dáno především způsobem šíření. Počítačový malware se nejčastěji šíří ve spamu.

Snáze tedy oklame uživatele v době, kdy sedí u počítačů v práci. Mobilní malware se šíří ve všech typech aplikací, tedy i těch, které používají lidé ve volném čase.

Operátoři Spy.Agentu za sebou mají velmi aktivní konec roku 2019, útočili především v první polovině prosince, kdy si ještě lidé nevybírali dovolené. V lednu 2020 tedy jejich aktivity oslabily, zřejmě si také dopřávají odpočinek. Nicméně lze očekávat, že se situace brzy vrátí do normálu a detekce tohoto trojského koně zase stoupnou.

Spy.Agent se šíří především spamem. Začátkem ledna jsme zaznamenali snahu maskovat tento malware jako e-mail ze zásilkových služeb, dříve pro něj byly typické zprávy od finančních institucí s infikovanými fakturami v příloze.

Maskovat malware jako oznámení o doručení zásilky je velmi efektivní, každý je zvědavý kdo vám co posílá a snáze tak napálíte i obezřetné uživatele. Navíc není nutné překládat text zprávy, protože balíčky ze zahraničí jsou dnes zcela běžné.

Reklamní malware Hiddad.HI sice slábne ale celá rodina bohužel nikoli. Podobné varianty ale stále detekujeme. Pokud bychom sečetly všechny varianty dohromady, jedná se stále o nejběžnější hrozbu. Důvodem je patrně také to, že uživatelé považují reklamu za nutné zlo a nevnímají je jako přímé riziko.

Plankton jsme zaznamenali v řadě aplikací s různými funkcemi - detekovali jsme jej ve hrách, filtrech fotografií, předpovědích počasí a dalších. Ve všech případech se jednalo o aplikace z neoficiálních obchodů.

Oba zmíněné trojské koně se šířily především prostřednictvím spamových kampaní. Uživatelé si je tak mohli nevědomky stáhnout spolu s infikovanou přílohou. Doporučujeme všem, aby byli obezřetní při otevírání zpráv a příloh od neznámých odesílatelů.

Adwind je specifický mimo jiné i programovacím jazykem, ve kterém byl napsán. Obecně celosvětově klesá počet malware v jazyce Java a Adwind je jednou z mála výjimek.

Šíření různých typů malware stejnou metodou není vůbec překvapivé. Útočníci od sebe často opisují nebo si rovnou prodávají funkční technologie pro infiltraci. To je nejspíše i případ těchto souborů. Infikované přílohy e-mailů se útočníci snaží vydávat za legitimní, v období vánočních nákupů se tedy často jedná o faktury nebo různé dokumenty k objednávkám z elektronických obchodů.

Nesou ovšem anglické názvy. Ostatně celý e-mail přijde v angličtině bez obrázků nebo jiných grafických prvků.

Ačkoliv na platformě Android existuje řada sofistikovanějších druhů útoků, tak malware zobrazující nechtěné reklamy představuje majoritní ohrožení. Důvodem je patrně to, že s poměrně malým úsilím je tento škodlivý kód pro útočníky rentabilní.

Domníváme se také, že reklamu mnoho uživatelů nevnímá jako nebezpečnou ale spíše jako nutné zlo.