Společnost Eset uvádí, že nejvíce detekovaným škodlivým kódem pro operační systém Windows v České republice byl v březnu opět spyware Agent Tesla, přestože počet jeho detekcí oproti předchozímu období poklesl. Doplnil ho opět spyware Formbook.
„Spyware Agent Tesla se v březnu neobjevil v žádné větší útočné kampani a ani přílohy s názvy v češtině tentokrát nebyly výrazněji zastoupeny – v zachycených detekcích nejčastěji vidíme, že se útočníci stále snaží uživatele zmást přílohami s názvy poptávka nebo děkovný dopis,“ komentuje Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.
Na předních místech pravidelné statistiky se v březnu objevil také trojský kůň AsyncRAT. Uživatelé stáhnou tento malware většinou ve formě škodlivého programu, který může přes server útočníků posléze stahovat celou řadu doplňkových pluginů s různými škodlivými funkcemi.
„Jedná se o běžného trojského koně typu RAT, tzv. Remote Access Trojan. Jakmile se jednou dostane do systému, umožní útočníkům nad ním získat vzdálenou kontrolu. Jeho zdrojové kódy jsou veřejně dostupné na internetu a každý si je tak může stáhnout a upravit si škodlivý kód pro své účely,“ vysvětluje Martin Jirkal.
Zrádný trojský kůň
Spyware Agent Tesla se podle analytiků nejčastěji objevoval v příloze „RFQ_C3682402292141.exe“, v menším počtu také v přílohách „Poptavka 00413_pdf.exe“ nebo „děkovný dopis.docx.exe“.
Spyware Formbook se nejčastěji ukrýval v příloze s názvem „RFQ RT1120 #10324.exe“. Ani trojský kůň AsyncRAT se neobjevil v příloze s názvem v češtině – nejčastěji na něj odborníci Esetu narazili v příloze „BL109533.exe“.
Eset vysvětluje, že AsyncRAT funguje v podobě základního programu, kterým útočníci infikují systém oběti. Program je pak závislý na serverech útočníků, z nichž stahuje moduly (pluginy) s různými funkcemi. Útočníci tak mohou stále vyvíjet nové funckionality a na dálku přes své servery je poskytovat základnímu škodlivému programu ke stažení.
Dále mohou pluginy trojského koně AsyncRAT obsahovat i pokročilé funkce pro komplexnější typy útoků. Mezi ně patří například spuštění .NET kódu, možnost těžit kryptoměnu XMR (Monero) nebo tzv. seedování torrentů, tedy šíření torrentu s účelem udržet ho dostupný ke stažení.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za březen 2024:
1. MSIL/Spy.AgentTesla trojan (11,29 %)
2. Win32/Formbook trojan (7,36 %)
3. MSIL/AsyncRAT trojan (6,97 %)
4. VBS/Agent.RSN trojan (6,91 %)
5. VBS/Agent.QMG trojan (6,01 %)
6. Win32/Rescoms trojan (3,41 %)
7. MSIL/Agent.WTJ trojan (2,65 %)
8. Win32/PSW.Fareit trojan (2,21 %)
9. MSIL/Spy.Agent.AES trojan (1,61 %)
10. PowerShell/Agent.BLP trojan (1,03 %)
Zdroj: Eset