Společnost Eset na základě pravidelné statistiky kybernetických hrozeb uvádí, že přední hrozbou pro uživatele Windows v České republice je i nadále spyware Agent Tesla. I přes výraznější pokles detekovaných případů se spyware v září šířil v celé řadě příloh s názvy v češtině.
Ačkoli ještě v červenci se spyware Agent Tesla podle Esetu objevoval téměř ve třetině všech detekcí, v září ho bezpečnostní experti evidovali v necelých 13 % všech zachycených případů škodlivého kódu pro operační systém Windows v České republice.
„Spyware Agent Tesla neměl v České republice během září žádnou větší útočnou kampaň. Množství nebezpečných příloh s českými názvy, jichž útočníci zneužívají k jeho šíření, se však vymykalo situaci, kterou v českém prostředí běžně pozorujeme,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.
„Zpravidla se totiž setkáváme s e-maily a přílohami v angličtině, které útočníci přímo pro české uživatele nepřekládají. České překlady mohou přitom zvýšit pravděpodobnost, že uživatelé nebezpečné přílohy ve chvilce nepozornosti otevřou a spyware vpustí do svého zařízení,“ dodává.
Pozor na podezřelé koncovky
Jirkal dále uvádí, že analytici u nebezpečných příloh šířících spyware dlouhodobě pozorují určitou strategii. Dokumenty v přílohách podle něj mívají dvě koncovky, přičemž tu druhou z nich, příponu .exe, uživatelé nemusí vždy vidět.
„Namísto toho vidí jen domnělý dokument v programu MS Word, ve formátu PDF nebo obrázek, a ten mohou otevřít a přílohu tak spustit. Jistotu ochrany před spywarem tak mají vždy s bezpečnostním softwarem, který se na koncovky příloh v e mailech cíleně zaměřuje,“ upřesňuje.
Nebezpečné e-mailové přílohy, jejichž prostřednictvím se spyware Agent Tesla v září šířil Českem, měly podle Esetu názvy „děkovný dopis.docx.exe“, „Poptavka 00413_pdf.exe“, „Zpusob_platby,jpg.exe“, „SMLOUVA-pdf.exe“.
Útok mohou prozradit české překlady
Kyberbezpečnostní společnost zjistila, že česky pojmenované přílohy se v září objevily také v případě spywaru Formbook a password stealeru Fareit. Přestože útočníci vsadili v případě zářijových kampaní na češtinu, nebývají překlady vždy správné a kontrola textu a názvů příloh může uživatele včas varovat, že něco není v pořádku.
„Ani spyware Formbook ani password stealer Fareit nebyly v září detekovány ve větším počtu případů. Škodlivý kód Fareit šířili útočníci například v e-mailech, které vydávali za zprávy od bank či logistických firem. Devět z deseti těchto e-mailů bylo přeloženo do češtiny,“ říká Jirkal.
„Útočníci mají k přípravě útoků k dispozici celou řadu nástrojů, a to dnes již včetně nástrojů umělé inteligence využívajících velkých jazykových modelů, jako je například ChatGPT. Stále se však uživatelé mohou setkat s jazykovými chybami. V září jsme tyto případy nejvíce viděli právě u password stealeru Fareit,“ shrnuje analytik.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za září 2023:
1. MSIL/Spy.AgentTesla trojan (12,72 %)
2. Win32/Formbook trojan (10,32 %)
3. Win32/PSW.Fareit trojan (2,15 %)
4. BAT/Agent.PZX trojan (2,07 %)
5. BAT/Agent.PZQ trojan (1,64 %)
6. MSIL/Spy.Agent.AES trojan (1,64 %)
7. Win32/Spy.VB.OLN trojan (1,59 %)
8. VBS/Agent.QMG trojan (1,05 %)
9. Win32/Rescoms trojan (1,01 %)
10. Java/Adwind trojan (0,98 %)
Zdroj: Eset
