Spyware, který se zaměřuje na hesla českých uživatelů, zůstal vysoce aktivní i v listopadu. Zatímco data v říjnu ukazovala na mírný pokles útočných kampaní, minulý měsíc dosáhly detekce tohoto škodlivého kódu nadpoloviční většiny všech zachycených hrozeb pro operační systém Windows. Téměř za polovinou z nich pak stál konkrétně spyware Agent Tesla. „Velkou kampaň v souvislosti s malwarem Agent Tesla jsme zaznamenali 18. listopadu. Útoky jsou cíleně zaměřené na Českou republiku, dále pak kampaně mířily i na Turecko nebo Japonsko. Strategie útočníků zůstává prozatím stejná. Infikovaná příloha v e-mailu má v uživateli vzbudit pozornost názvem, který odkazuje na platby a finanční transakce. Zatímco minulý měsíc měla nebezpečná příloha v názvu slovo faktura, tentokrát byla označená jako Kopie oprav účtenky za 11,2021...exe,“ shrnuje vývoj Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
Spyware obsahuje funkce, které skenují internetové prohlížeče a další programy, například e-mailové klienty Microsoft Outlook, Mozilla Thunderbird nebo Yandex. Škodlivý kód aktivně vyhledává uložené přihlašovací údaje, které následně odesílá útočníkům. Poslední silná kampaň proběhla v Česku na přelomu srpna a září a s blížícími se svátky a koncem roku aktivita útočníků opět roste.
Na Česko míří cílené útoky i globální kampaně
V listopadu zůstal aktivní i spyware Formbook. Na rozdíl od malwaru Agent Tesla se útočníci v tomto případě nezaměřují konkrétně na Českou republiku a bezpečnostní specialisté v listopadu zachytili spíše kampaně s globálním dosahem. V porovnání s říjnovými daty Formbook v listopadu mírně oslabil, nadále ale stojí za bezmála pětinou všech detekcí. Útoky probíhaly kontinuálně po celý měsíc se zvýšenou aktivitou ve dnech 3., 10. a 15. listopadu.
„Spyware Formbook obsahovala nejčastěji příloha s příponou .exe, která nesla název REQUEST FOR SPECIFICATION. Nadále se ale objevuje i název účtenka. Příloha v češtině může být pak pro českého uživatele daleko nebezpečnější. Ve chvíli nepozornosti si nemusí uvědomit, že se nejedná o věrohodný soubor, a spustí ji,“ vysvětluje Jirkal.
Významný pokles a utlumení aktivity evidují bezpečnostní analytici u malwaru Fareit, který neměl v ČR několik posledních měsíců žádnou větší kampaň.„Password stealer Fareit není momentálně příliš aktivní a na uživatele případně míří již poměrně známé a zastaralé e-mailové spamy. Nejčastěji tyto zprávy obsahují informace o zásilkách z ciziny anebo o doručení SWIFT platby do české banky,“ říká Jirkal. „To, že je aktivita nějakého škodlivého kódu nízká, nemusí ovšem znamenat, že přestane být nebezpečný. Důvod jeho současného útlumu může být i aktivní vývoj nové efektivnější varianty. To nám ale potvrdí až čas,“ dodává.
Hesla uloží bezpečně pouze správce hesel
V souvislosti s útoky na uživatelská hesla bezpečnostní experti opakovaně apelují na uživatele, aby ochranu svých přístupových údajů nepodceňovali. Internetové prohlížeče, ze kterých se spyware snaží uložená hesla získat, nejsou adekvátně zabezpečené a riziko odcizení a zneužití osobních údajů je tak vysoké.
„Z našich pravidelných průzkumů víme, že když si uživatelé dle doporučení vytvoří složitá a unikátní hesla pro své účty, nechtějí si je pamatovat a radši si je někam uloží nebo zapíší. Ukládání hesel do internetových prohlížečů ale není bezpečnou cestou, jak ušetřit čas při opakovaném vyplňování hesel a dalších osobních údajů při přihlašování,“ říká Jirkal. „V tomto případě lze jako nejvhodnější řešení doporučit pouze specializované aplikace pro správu hesel. Ty nejenže dokáží generovat silná hesla, ale hlavně je dokáží bezpečně ukládat v zašifrované podobě. Nabízí i rozšíření pro prohlížeče, které umožňuje automatické vyplňování online formulářů. Uživatel si tak musí pamatovat už jen jedno heslo, a to pro přístup do správce hesel,“ vysvětluje Jirkal.
Nejčastější kybernetické hrozby v České republice za listopad 2021:
- MSIL/Spy.AgentTesla trojan (43,19 %)
- Win32/Formbook trojan (18, 59 %)
- Win32/PSW.Fareit trojan (1, 57 %)
- VBS/Agent.PNB trojan (1, 44 %)
- MSIL/Spy.Agent.DFY trojan (0, 71 %)
- Win32/Floxif virus (0, 62 %)
- MSIL/Agent.CFQ trojan (0, 59 %)
- Linux/SmbPayload trojan (0, 57 %)
- Win32/Rescoms trojan (0, 51 %)
- WinGo/RanumBot trojan (0, 50 %)