Společnost Eset ve svém pravidelném přehledu kyberhrozeb pro Českou republiku upozorňuje, že v tuzemsku doznívá dubnový útok malwaru Agent.QMG, který do zařízení stahuje celou řadu škodlivých kódů, včetně známých spywarů Agent Tesla a Formbook.
V květnu totiž experti zaznamenali celou řadu nebezpečných e-mailových příloh s českými názvy odkazujícími na faktury či objednávky. Cílem kybernetických útočníků tak podle Esetu nyní mohou být především menší firmy, jejichž zaměstnanci s takovými dokumenty frekventovaně pracují.
Eset rovněž zaznamenal, že na zařízeních s operačním systémem Windows klesl počet detekcí u spywaru Agent Tesla. Oproti předchozímu měsíci naopak vzrostly detekce spywaru Formbook a doznívá také již zmiňovaná útočná kampaň malwaru Agent.QMG.
„V případě operačního systému Windows aktuálně pozorujeme vyšší zastoupení nebezpečných e-mailových příloh s českými názvy – útočníci spyware ukrývají do přiložených souborů, které vydávají za objednávky či faktury,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.
Hrozba se tváří jako nabídka z Itálie
Domnělými odesílateli mají být podle Jirkala také různé firmy. „To pravděpodobně svědčí o tom, že útočníci v současné době cílí na firmy a organizace, kde se může takový falešný e-mail mezi řadou ostatních zpráv o objednávkách a fakturách dobře ztratit,“ upozorňuje.
Agent Tesla se v květnu dle Esetu objevoval nejčastěji v příloze s názvem „PURCHASE ORDER.exe“ a v menším počtu případů také v přílohách „Kopie oprav účtenky za 11,2021…exe“ a „Zpusob_platby,jpg.exe“. Spyware Formbook pak útočníci nejčastěji šířili v příloze s názvem „nákupní objednávka pdf.exe“.
Malware Agent.QMG dle analytiků postupně ustával v útočných kampaních a v květnu byl detekován v 5 % případů. Nejčastěji se ukrýval v příloze s názvem „richiesta di offerta Pesci Attrezzature.vbs“ či pod českou přílohou „Produkt nové objednávky.vbe“. Útočníci e-mail vydávali za obchodní nabídku z italské firmy.
„Agent.QMG ve své útočné kampani šířil také malware GuLoader, který je poměrně obtížné rozpoznat a který má za úkol stahovat do infikovaného zařízení další škodlivé kódy, mimo jiné i spyware,“ vysvětluje Jirkal.
I přestože bezpečnostní specialisté doporučují riziko v podobě malwaru Agnet.QMG nepodceňovat, detekce tohoto škodlivého kódu aktuálně klesají a v následujících měsících se teprve ukáže, zda ho útočníci budou v České republice nadále využívat.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za květen 2023:
1. MSIL/Spy.AgentTesla trojan (10,18 %)
2. Win32/Formbook trojan (9,88 %)
3. VBS/Agent.QMG trojan (5,62 %)
4. Win32/PSW.Fareit trojan (5,35 %)
5. MSIL/Spy.Agent.AES trojan (2,89 %)
6. BAT/Runner trojan (2,11 %)
7. WinGo/Rozena trojan (1,78 %)
8. Win32/Qhost trojan (1,08 %)
9. Win32/Delf.NBX virus (0,90 %)
10. Java/Adwind trojan (0,90 %)
Zdroj: Eset
