Eset: Za polovinou dubnových útoků v České republice stál spyware

5. 5. 2021

Doba čtení: 3 minuty

V průběhu dubna zachytili analytici několik kampaní cílených na Česko. Kampaně šířily malware kradoucí hesla.

Společnost Eset upozorňuje, že nejvážnější kybernetickou hrozbou byly v dubnu trojské koně, které dokáží odcizit přihlašovací údaje k různým online službám. S ukradenými daty útočníci podle analytiků obchodují na darkwebu.

Škodlivý kód, který ohrožuje hesla, je v České republice podle Esetu dlouhodobě největším rizikem. Zaměřuje se zejména na hesla uložená v prohlížečích. Tento typ malware označují odborníci často jako password stealer, šíří se spamovými kampaněmi, a to jak v českém, tak anglickém jazyce.

Kyberbezpečnostní společnosti zjistila, že v dubnu stál tento škodlivý kód za více než polovinou detekcí. Odborníci proto doporučují využívat spíše speciální programy pro správu hesel.

Útoky jsou vedeny na uložená hesla

Eset uvádí, že za celou čtvrtinou incidentů stál trojský kůň Fareit. Jedná se o typického zástupce password stealerů. Analytici společnosti zachytili 6. 4. 2021 kampaň cílenou speciálně na Českou republiku.

„Pokud odhlédnu od této výraznější kampaně, tak poslední dva týdny v Česku vidíme nižší čísla. Celosvětově ale tlak tohoto malware nepolevuje,“ popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti Esetu.

Podle Jirkala je tedy příliš brzo říct, zda útočníci jen krátkodobě omezili aktivity, nebo zda budeme svědky utlumení této hrozby v Česku.

Malware cílí na české uživatele

Dalším trojským koněm, který ohrožoval české uživatele, byl Spy.Agent.AES (známý také jako Agent-Tesla). Analytici zachytili celkem dva útoky směřované na Česko a to 6. a 14. 4. Podle dat se malware objevoval především v příloze „FAKTURA.exe“.

„Spy.Agent.AES je ve světe velice rozšířený. Nejvýraznější je v Turecku, Chorvatsku, Japonsku, Španělsku a Portugalsku. Na tomto výčtu je zřejmé, o jak závažnou hrozbu jde,“ vysvětluje Jirkal.

Útoky k pronájmu

Eset, informuje, že třetím výrazným zástupcem password stealerů v České republice je Formbook. I v tomto případě zachytili experti kampaně mířené proti Česku, probíhaly 6. a 12. 4.

Uživatelé si jej podle analytiků mohli nedopatřením stáhnout z příloh s názvy „Image001.exe“ a „TT COPY.exe“ nebo v přílohách, které útočníci vydávali za bankovní operace – tedy různé výpisy, faktury a podobně.

„Je velice zajímavé, že všechny tři nejčastější hrozby zaútočily na Česko v jediný den. Bohužel se u takto krátké jednodenní operace nedá přesně určit proč. U password stealerů je běžné, že si útok můžete zakoupit na darkwebu jako službu, včetně distribuce,“ říká Jirkal.

„Je teda možné, že si všechny tři kódy koupil jeden útočník a zkoušel, který bude nejefektivnější. Případně, že se jedna skupina útočníků pokouší útoky diverzifikovat a vytěžit tak ze zranitelných uživatelů maximum. Nevylučuji ani to, že šlo jen o shodu okolností,“ dodává.