Společnost Eset informuje, že přestože se počet detekcí všech dlouhodobě přítomných škodlivých kódů pro operační systém Windows v České republice zatím nemění, bezpečnostní experti zachytili v únoru nebývale silný útok na české uživatele.
Detekovanými škodlivými kódy byly tentokrát kromě spywaru Agent Tesla také spyware Formbook a downloader Agent.PLI, který útočníci šířili prostřednictvím škodlivých skriptů v poznámkových souborech programu OneNote.
Spyware Agent Tesla se v únoru ve statistice společnosti Eset objevil opět ve zhruba 15 % všech případů. Tentokrát byl dle analytiků aktivní především závěrem měsíce a nejrozšířenější škodlivá e-mailová příloha, jejíž prostřednictvím se šířil, se jmenovala „IMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe“.
Na rozdíl od spywaru Agent Tesla ale bezpečnostní specialisté zaznamenali silné útoky 21. 2. 2023, a to v případě obou dalších nejčastěji detekovaných škodlivých kódů.
Hrozby ve formátu .exe a .bat
„Spyware Formbook, jeden z malwarů, které jsme v rámci silného únorového útoku objevili, se šířil přes e mailovou přílohu s názvem Booking Details!!.exe. Předpokládáme tak, že cílem spywaru byli uživatelé, kteří již v těchto měsících začali objednávat dovolené,“ vysvětluje Martin Jirkal z Esetu.
Dalším typem útočícího malwaru byl Agent.PLI. Zde kyberbezpečnostní společnost vidí nový trend v útočných kampaních – zasílání poznámkových dokumentů programu OneNote, které obsahují škodlivé skripty.
„Agent.PLI se nejčastěji objevoval jako sdílený dokument s názvem Invoice 575367.bat. Tuto metodu útočníci zkouší pravděpodobně kvůli zpřísňujícím se pravidlům pro posílání e-mailových příloh, a hledají možnosti, jak toto omezení obejít,“ upřesňuje Jirkal.
Přílohy a dokumenty s příponami .exe. nebo .bat označují typy spustitelných programů v operačním systému Windows. Bezpečnostní experti upozorňují uživatele, aby takové programy nikdy nespouštěli, pokud si nejsou jisti jejich původem, obsahem a funkcionalitami.
Místo přílohy sdílené poznámky
Odborníci na kybernetickou bezpečnost společnosti Eset opakovaně upozorňují, že útočníci budou mít letos velký zájem přehodnocovat současné strategie a investovat do nových typů útoků.
„Přestože útoky s použitím programu OneNote aktuálně slábnou a zdá se tedy, že úspěšné nebyly, princip této strategie se určitě může znovu objevit,“ říká Jirkal a dodává, že celkově byl útok velmi jednoduchý.
„V poznámkovém dokumentu s příponou .one bylo vloženo několik škodlivých .bat skriptů, které byly překryty obrázkem. Obrázek nabádal uživatele ke kliknutí a otevření dokumentu. Kliknutím na tento obrázek se spustil jeden ze škodlivých skriptů, který začal stahovat do zařízení další malware,“ vysvětluje.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2023:
1. MSIL/Spy.AgentTesla trojan (15,14 %)
2. Win32/Formbook trojan (9,61 %)
3. BAT/Agent.PLI trojan (3,54 %)
4. Win32/PSW.Fareit trojan (1,96 %)
5. MSIL/Spy.Agent.AES trojan (1,95 %)
6. Win32/Shafmia trojan (1,43 %)
7. BAT/Runner trojan (1,22 %)
8. MSIL/Disdroth trojan (1,17 %)
9. MSIL/Spy.RedLine trojan (1,15 %)
10. Win32/Warzone trojan (1,01 %)
Zdroj: Eset
