Hrozby pro Windows: Spyware od začátku roku opět posílil
I přes pokles v počtu detekcí na přelomu roku zůstává spyware Agent Tesla stabilním rizikem pro uživatele operačního systému Windows v České republice. Jak spyware Agent Tesla, tak spyware Formbook, další ze stabilně přítomných škodlivých kódů, se v lednu šířily prostřednictvím anglicky pojmenovaných příloh, útočné kampaně s využitím češtiny byly naopak doménou password stealeru Fareit. Infostealery, mezi které se spyware a password stealer řadí, zůstávají hlavní hrozbou pro uživatele v Česku a bezpečnostní specialisté budou v následujícím období sledovat především vývoj strategií těchto útoků. Nevylučují, že se útočníci zaměří na zlepšení překladů do češtiny. Vyplývá to z pravidelné statistiky hrozeb od společnosti ESET.
Spyware Agent Tesla v lednu posílil o několik procent.
Zatímco v prosinci ho bezpečnostní specialisté detekovali ve zhruba desetině
všech případů, v lednu už celkový počet detekcí vzrostl na 15,14 % všech
detekovaných hrozeb pro operační systém Windows v Česku.
„Současný stav poklesu detekcí na začátku roku již
pozorujeme druhým rokem. Jedná se o standardní vývoj a rozhodně to neznamená,
že by infostealery v Česku, mezi které právě spadá spyware nebo password
stealery, přestaly být rizikem,“ vysvětluje Martin Jirkal, vedoucí
analytického týmu v pražské pobočce ESET.
Spyware je typ malwaru, který se zaměřuje na krádež osobních
údajů. V současnosti je považován bezpečnostními experty za jednu z
nejrozšířenějších kybernetických hrozeb. Spyware se nejčastěji šíří
prostřednictvím e-mailového spamu, kterým se útočníci snaží přimět uživatele ke
spuštění infikovaných souborů v příloze. Dlouhodobě se vyskytuje také v České
republice s jasným záměrem útočníků proniknout k údajům českých uživatelů.
„V Česku můžeme pozorovat střídající se kampaně, které
jsou buď vedené globálně, v angličtině, nebo se snaží lokálně přizpůsobit
zdejším uživatelům využitím českých překladů, které ale zpravidla nebývají
správné a mohou uživatele upozornit na to, že něco není v pořádku,“ říká
Jirkal. „Spyware Agent Tesla se v lednu nejčastěji šířil v příloze s názvem
PAYMENT SLIP_002_JPEG.exe a nejvíce aktivní byl ve dnech 12. a 30. ledna.“
Čeština jako ukazatel bezpečnosti
Druhým nejčastějším škodlivým kódem, který spyware Agent
Tesla již více než rok v útočných kampaní v Česku doprovází, zůstává spyware
Formbook. Útočil především od 23. ledna a nejčastěji se objevoval v příloze s
názvem RFQ-HKSCAN.exe. V jednotkách procent ani v lednu nechyběl password
stealer Fareit, který je i přes malý počet detekcí v Česku stabilní. V jeho
případě se objevily útoky v češtině.
„Útočníci využívají v případě infostealerů manipulativní
komunikaci a snaží se uživatele přesvědčit, že příloha v e mailu obsahuje
nějaké důležité informace. Zatímco Agent Tesla i Formbook se tentokrát šířily v
anglicky psaných e-mailech s anglicky pojmenovanými přílohami, Fareit se
objevoval v přílohách s názvy Objednávka TR04_ B004-V021_Patrem S.R.O.exe,
Unicredit_SVX5700736_Elektronická platební.exe či
Objednávek(P.O_R6790074)_INTERCOM_Bohemia.exe. Pokud se na přílohy podíváte,
můžete pozorovat jasně viditelné chyby vzniklé nesprávným překladem. Uživatelé
ale mohou ve spěchu a v nepozornosti přílohy otevřít v domnění, že se jedná o
skutečný doklad k objednávce nebo o fakturu,“ říká Jirkal.
Čeština je podle bezpečnostních specialistů stále jedním z
důvěryhodných ukazatelů, že komunikace, a to nejen v e-mailu, ale také v
chatovacích aplikacích nebo v SMS, není v pořádku a může se jednat o snahu
získat přístup k našim údajům. Podle nich je to ale oblast, na kterou se mohou
útočníci v budoucnu zaměřit.
„Malware se stále vyvíjí a stejně tak se vyvíjejí
strategie útoků. Počítáme s tím, že útočníci mohou v budoucnu investovat také
do věrohodnějších jazykových překladů. V posledních týdnech se také zvedla
diskuze o generování spamu za pomoci algoritmů umělé inteligence, tam ale spíše
můžeme počítat s tím, že v následujících letech převáží především angličtina a
do češtiny zůstane text překládán spíše strojově,“ doplňuje Jirkal.
Nejčastějším cílem infostealerů jsou hesla
Útočníci využívají infostealery především k odcizení našich
přihlašovacích údajů k různým online službám, přičemž těmi nejvíce poptávanými
jsou přístupové údaje k našim bankovním účtům. Bezpečnostní specialisté proto
opakovaně upozorňují na to, abychom věnovali pozornost celkové bezpečnosti
hesel, a to jak na samém začátku v jejich vytváření, tak při jejich správě.
„Silné a spolehlivé heslo by mělo mít nejméně 10 znaků a
mělo by být složené z malých a velkých písmen a číslic, popřípadě i speciálních
znaků, pokud to daná služba při tvorbě hesla umožňuje. Pro lepší zapamatování
mohou uživatelé využít i heslovou frázi, která mívá podobu dohromady spojené
věty či slov, jejichž význam dává uživateli smysl. Heslo si nikam nezapisujte a
k jeho uchování a správě využijte ideálně správce hesel,“ radí Jirkal z
ESETu.
Správce hesel je specializovaný program, který si mohou
uživatelé pořídit samostatně nebo jako součást bezpečnostního softwaru. Uložená
hesla uchovává v zašifrované podobě a vyplňuje je při přihlašování do dané
online služby. Uživatel si pak musí pamatovat jen jedno heslo, a to pro přístup
do tohoto programu.
Nejčastější kybernetické hrozby pro operační systém Windows v České
republice za leden 2023:
1. MSIL/Spy.AgentTesla
trojan (15,14 %)
2. Win32/Formbook
trojan (9,61 %)
3. Win32/PSW.Fareit
trojan (1,96 %)
4. MSIL/Spy.Agent.AES
trojan (1,95 %)
5. Win32/Shafmia
trojan (1,43 %)
6. BAT/Runner
trojan (1,22 %)
7. MSIL/Disdroth
trojan (1,17 %)
8. MSIL/Spy.RedLine
trojan (1,15 %)
9. Win32/Warzone
trojan (1,01 %)
10. Win32/Spy.VB.OLN
trojan (0,92 %)
Zveřejněno: 20. 02. 2023