Eset: Útočníci zkouší v ČR šířit spyware přes poznámkové soubory OneNote

15. 3. 2023
Doba čtení: 2 minuty

Sdílet

 Autor: © bloomua - Fotolia.com
Útočníci vedle osvědčené strategie v podobě nebezpečných e mailových příloh zkouší obcházet zabezpečení novými metodami.

Společnost Eset informuje, že přestože se počet detekcí všech dlouhodobě přítomných škodlivých kódů pro operační systém Windows v České republice zatím nemění, bezpečnostní experti zachytili v únoru nebývale silný útok na české uživatele.

Detekovanými škodlivými kódy byly tentokrát kromě spywaru Agent Tesla také spyware Formbook a downloader Agent.PLI, který útočníci šířili prostřednictvím škodlivých skriptů v poznámkových souborech programu OneNote.

Spyware Agent Tesla se v únoru ve statistice společnosti Eset objevil opět ve zhruba 15 % všech případů. Tentokrát byl dle analytiků aktivní především závěrem měsíce a nejrozšířenější škodlivá e-mailová příloha, jejíž prostřednictvím se šířil, se jmenovala „IMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe“.

Na rozdíl od spywaru Agent Tesla ale bezpečnostní specialisté zaznamenali silné útoky 21. 2. 2023, a to v případě obou dalších nejčastěji detekovaných škodlivých kódů.

Hrozby ve formátu .exe a .bat

Spyware Formbook, jeden z malwarů, které jsme v rámci silného únorového útoku objevili, se šířil přes e mailovou přílohu s názvem Booking Details!!.exe. Předpokládáme tak, že cílem spywaru byli uživatelé, kteří již v těchto měsících začali objednávat dovolené,“ vysvětluje Martin Jirkal z Esetu.

Dalším typem útočícího malwaru byl Agent.PLI. Zde kyberbezpečnostní společnost vidí nový trend v útočných kampaních – zasílání poznámkových dokumentů programu OneNote, které obsahují škodlivé skripty.

Agent.PLI se nejčastěji objevoval jako sdílený dokument s názvem Invoice 575367.bat. Tuto metodu útočníci zkouší pravděpodobně kvůli zpřísňujícím se pravidlům pro posílání e-mailových příloh, a hledají možnosti, jak toto omezení obejít,“ upřesňuje Jirkal.

Přílohy a dokumenty s příponami .exe. nebo .bat označují typy spustitelných programů v operačním systému Windows. Bezpečnostní experti upozorňují uživatele, aby takové programy nikdy nespouštěli, pokud si nejsou jisti jejich původem, obsahem a funkcionalitami.

Místo přílohy sdílené poznámky

Odborníci na kybernetickou bezpečnost společnosti Eset opakovaně upozorňují, že útočníci budou mít letos velký zájem přehodnocovat současné strategie a investovat do nových typů útoků.

Přestože útoky s použitím programu OneNote aktuálně slábnou a zdá se tedy, že úspěšné nebyly, princip této strategie se určitě může znovu objevit,“ říká Jirkal a dodává, že celkově byl útok velmi jednoduchý.

V poznámkovém dokumentu s příponou .one bylo vloženo několik škodlivých .bat skriptů, které byly překryty obrázkem. Obrázek nabádal uživatele ke kliknutí a otevření dokumentu. Kliknutím na tento obrázek se spustil jeden ze škodlivých skriptů, který začal stahovat do zařízení další malware,“ vysvětluje.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2023:

1. MSIL/Spy.AgentTesla trojan (15,14 %)

2. Win32/Formbook trojan (9,61 %)

3. BAT/Agent.PLI trojan (3,54 %)

4. Win32/PSW.Fareit trojan (1,96 %)

5. MSIL/Spy.Agent.AES trojan (1,95 %)

6. Win32/Shafmia trojan (1,43 %)

7. BAT/Runner trojan (1,22 %)

8. MSIL/Disdroth trojan (1,17 %)

9. MSIL/Spy.RedLine trojan (1,15 %)

bitcoin školení listopad 24

10. Win32/Warzone trojan (1,01 %)

Zdroj: Eset

Čtěte dále

Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně