Martin Jirkal

Vedoucí analytického oddělení pražské pobočy ESET

Útočníci zřejmě sázeli na to, že všichni budeme nakupovat dárky na internetu a jejich škodlivá zpráva zapadne mezi další, ať už vinou stresu nebo jen nepozornosti. Spy.Agent.AES je malware, který dokáže odcizit hesla uživatele uložená v běžných prohlížečích.

Hesla mají totiž na černém trhu obrovskou hodnotu, proto jsou útoky na ně v Česku dlouhodobě nejvážnější problém.

FormBook je velmi nebezpečný, jde v podstatě o podnikatelský projekt. Vývojáři jej nabízejí na černém trhu jako službu k pronájmu, tím se otevírá prostor pro kriminální činnost i těm, kteří by jinak kybernetické útoky po technické stránce nezvládli. Infikované e-maily, které šíří FormBook, byly prozatím v angličtině a pro uživatele je tak snazší podvod odhalit.

Apeloval bych proto na uživatele, aby svá hesla pečlivě chránili a rozhodně je ve svých zařízeních ukládali pouze dostatečně bezpečným způsobem, jaký představují specializované aplikace tzv. správci hesel. Ze statistik je zřejmé, že jsou hesla cílem zločinců dlouhodobě a nelze očekávat, že tento typ útoků z internetu zmizí.

Funkce těchto aplikací nejsou apriori škodlivé. Jako stalkerware označujeme aplikace, které lze zneužít ke špehování uživatele bez jeho vědomí. Taková aplikace pak může třeba číst SMS, zaznamenávat hesla, sledovat polohu, sledovat hovory a podobně. Dříve tyto aplikace řada bezpečnostních společností označovala jen jako potenciálně nechtěné.

Nicméně jejich zneužívání překročilo únosnou míru, takže bylo nutné riziko překvalifikovat. Naše detekční pravidla jsou nastavena tak, aby chránila vlastníka zařízení, proto považuji za nutné na stalkerware upozornit.

Spy.Agent.AUS je novější a schopnější variantou rodiny malware Spy.Agent. Minulý rok ohrožovala české uživatele jiná verze tohoto malware s koncovkou .AES, ta ale poslední měsíce slábne. Útočníci zneužívají situaci, kdy řada lidí pracuje z home office. Z funkcí trojského koně je patrné, že se zaměřili na služby pro vzdálenou práci, ať už jde o e-maily a komunikační služby či FTP servery, kde firmy ukládají sdílená data.

Domácí sítě bývají obecně hůře zabezpečené, je tedy možné, že nynější karanténní opatření jim v tomto ohledu usnadňují práci.

Útok zneužívající zranitelnost KR00K se pro uživatele projevuje jako odpojení od WiFi.

Pokud je útok úspěšný, může se útočník dostat k několika kilobajtům dat, které mohou obsahovat nejcitlivější údaje, jako například hesla.