Společnost Eset na základě červencové statistiky kybernetických hrozeb pro Windows v České republice informuje, že nejčastějším škodlivým kódem stále spyware, a to v zastoupení škodlivých kódů Agent Tesla, Formbook a Agent.AES.
Analytici odhalili, že Agent Tesla v červenci nezopakoval svou silnou aktivitu z předchozího období. S podílem kolem desetiny všech zachycených případů se naopak vrátil k běžnému počtu detekcí v letošním roce.
„Spyware Agent Tesla sice zůstává hrozbou číslo jedna pro české uživatele a uživatelky, masivní útočnou kampaň ze začátku léta v červenci ale nezopakoval. Můžeme říct, že červenec byl z tohoto pohledu klidným měsícem. říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce Esetu.
Pozor na falešné faktury a objednávky
Mezi detekovanými e-mailovými přílohami se podle Martina Jirkala sice objevila příloha s českým názvem objednávka, obecně ale platil trend, že útoky byly v červenci opět zacíleny spíše globálně na různé státy.
„S cíleným útokem na Česko se však ještě setkat můžeme,“ upozorňuje analytik „Je běžné, že útočníci se po výraznější aktivitě na čas opět stáhnou, aby předešlý útok vyhodnotili a investovali do přípravy dalších strategií a metod.“
Eset upřesňuje, že spyware Agent Tesla se v červenci ukrýval například v přílohách s názvy „PO 4500005168 NIKOLAPO 4500005168 NIKOLA.exe“ nebo „Objednávka IMG_PO #00702441355 – č. 2400228341_pdf.exe“.
Spyware Formbook pak nejčastěji šířila příloha „Custom Clearance 5816641785332.exe“ a spyware Agent.AES se v příloze „Order Details.exe“ nejčastěji objevoval v e-mailech, které útočníci vydávali za notifikace k nákupům přes internet.
Škodlivý kód sleduje aktuální trendy
Společnost upozorňuje, že útočníci stejně jako odborníci na marketing připravují své útoky na míru konkrétním cílovým skupinám. Podle jiné zprávy Esetu se již od konce loňského roku začaly objevovat případy, kdy útočníci maskovali infostealery za nástroje generativní umělé inteligence – jednalo se například o napodobeniny služeb Midjourney, Sora nebo Gemini. K jejich šíření využívali také podvodná sdělení na sociálních sítích.
„V posledních několika měsících se nám opět potvrzuje, že mezi útočníky a těmi, kdo se snaží digitální životy uživatelů chránit, probíhá stále neutuchající závod v kontextu rychlého technologického vývoje,“ popisuje Martin Jirkal.
„I když vývoj nástrojů generativní umělé inteligence doprovází i ochranná opatření, která mají zabránit jejich zneužití, útočníci známá jména přesto využili k šíření malwaru. Můžeme bohužel očekávat, že tento trend bude i nadále pokračovat,“ dodává.
Slavná jména AI asistentů jako Sora od OpenAI či Gemini od Google útočníci podle analytiků využívali k šíření škodlivého kódu Rilide Stealer. Škodlivý kód Vidar infostelaer se poté objevoval v údajné desktopové aplikaci Midjourney pro operační systém Windows, přestože v době útoku nebyla tato aplikace oficiálně k dispozici.
S ohledem na popularitu AI nástrojů by se před zneužitím těchto aplikací měli mít podle bezpečnostních expertů na pozoru také uživatelé a uživatelky v České republice.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červenec 2024:
1. MSIL/Spy.AgentTesla trojan (12,03 %)
2. Win32/Formbook trojan (10,74 %)
3. MSIL/Spy.Agent.AES trojan (8,52 %)
4. Win64/Agent.ECK trojan (3,05 %)
5. Win32/Rescoms trojan (2,31 %)
6. MSIL/AsyncRAT trojan (1,97 %)
7. Win32/Neshta virus (1,91 %)
8. Win32/PSW.Fareit trojan (1,84 %)
9. VBS/Agent.QMG trojan (1,75 %)
10. VBS/Agent.SDH trojan (1,32 %)
Zdroj: Eset