Průzkum společnosti Eset odhalil, že v říjnu se čeští uživatelé museli potýkat s několika cílenými kampaněmi. Malware se šířil především e-maily, v řadě případů byly psané češtinou. Za třetinou hrozeb stojí spyware, tedy trojské koně, které útočí na hesla.
Nejvýraznější hrozbou pro české uživatele podle odborníků společnosti zůstal spyware, konkrétně Spy.Agent.AES. Kvůli výrazné kampani na začátku měsíce stál za čtvrtinou všech detekcí malware v České republice.
„Útočníci pomocí malware Spy.Agent.AES zaútočili na začátku října a po zbytek měsíce tato kampaň doznívala. Na rozdíl od září se změnil jazyk kampaně. Dříve jsme zaznamenali útoky v českém jazyce, v říjnu v angličtině,“ popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce Esetu.
„V rámci této kampaně byl použit kód, který lze snadno zakoupit na černém trhu. Je tedy možné, že si jej takto opatřila nová skupina útočníků, která si prozatím nedala práci s lokalizací spamu,” dodává Jirkal.
Malware na objednávku
Podobným typem malware je trojský kůň FormBook. Stejně jako Spy.Agent.AEs. Ten navíc obsahuje funkci keyloggeru, který dokáže uložit seznam stisknutých kláves. Nashromážděná data pak odesílal útočníkům, kteří je monetizují na černém trhu.
„FormBook byl v září dost nevýrazný a nyní se vrací silnější. Zachytili jsme kampaň cílenou specificky na Českou republiku. Šíří se především ve škodlivých přílohách spamu. Většina útočných e-mailů je psaná v češtině,“ vysvětluje Jirkal.
Eset upozorňuje, že v praxi je možné FormBook i Spy.Agent.AES zakoupit na webových stránkách zločinců jako malware-as-a-service (MaaS). Kampaň si tak mohou zakoupit i začínající nebo technicky nezkušení útočníci. V některých případech poskytovatel MaaS zajistí i distribuci malware.
Malware zneužívá neopravené chyby
Průzkum dále odhalil, že do Česka se po delší době vrátil také malware Agent.FO, který zneužívá zranitelnost CVE-2017-11882 objevenou před třemi lety. Zneužívá bezpečnostní chybu ve starších verzích nástrojů Microsoft Office, jmenovitě komponentě Microsoft Equation Editor.
„Tento malware útočí ve 14 % případů v Turecku a v 9 % v České republice. Jsme tak druhou nejvíce napadenou zemí,“ říká Jirkal. „Agent.FO si uživatel stáhne z přílohy e-mailu. Jakmile je aktivní, získá útočník kontrolu nad systémem a možnost ho ovládat.“
Nejčastější kybernetické hrozby v České republice za říjen 2020:
- MSIL/Spy.Agent.AES trojan (26,68 %)
- Win32/Formbook trojan (4,23 %)
- DOC/Agent.FO trojan (2,73 %)
- Win32/PSW.Fareit trojan (2,55 %)
- MSIL/Autorun.Spy.Agent.DF worm (2,20 %)
- Win32/Agent.TJS trojan (2,07 %)
- MSIL/Spy.Agent.CTW trojan (1,99 %)
- Win32/AutoRun.Delf.LV worm (1,84 %)
- Win64/CoinMiner.AAP trojan (1,51 %)
- Java/Adwind trojan (1,41 %)
Zdroj: Eset
