Za více než třetinou detekcí v srpnu stál malware Spy.Agent.AES, známý také jako Agent.Tesla. Jde o typického zástupce spyware se zaměřením na odcizení hesel. Celosvětově se jedná o velmi agresivní typ škodlivého kódu. Globálně jeho operátoři útočili spíše na začátku měsíce, na Českou republiku se podle dat zaměřili až na konci léta. Spy.Agent.AES obsahuje funkce, které proskenují internetové prohlížeče a další programy, například mailové klienty Microsoft Outlook, Mozilla Thunderbird nebo Yandex. Kód aktivně vyhledává uložené přihlašovací údaje, které následně odesílá útočníkům.
„Tento malware se nejčastěji šířil v přílohách v portugalštině a později také ve španělštině. Není sice neobvyklé, že se i k českým uživatelům dostanou zahraniční kampaně, ale běžně nefigurují mezi cílovými státy, jak tomu bylo například minulý měsíc. Domníváme se, že v tomto případě útočníci spíše nakoupili nevhodný seznam potenciálních obětí,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. Varuje také, že pokud uživatel přílohu cizojazyčného e-mailu otevře, může být i tak Spy.Agent.AES velmi nebezpečný.
Kódy i e-maily uživatelů si útočníci kupují
Spyware útočníci běžně nabízejí na darknetu jako službu k pronájmu, což platí i pro všechny hrozby detekované v České republice. Kyberzločin se tak otevírá i lidem, kteří nejsou technicky dostatečně zkušení, aby dokázali vytvořit vlastní malware. Je možné si pronajmout škodlivý kód, jeho distribuci i úložiště, kam se odešlou odcizená hesla. „V tomto kontextu mluvíme o malware-as-a-service, tedy malware jako službě. Někdy si kupující zajišťuje distribuci sám a pak detekujeme cíleně mířené kampaně v češtině, jindy si kupuje i způsob, jak se malware dostane k uživatelům. Pak může dojít k takovým omylům, jako že čeští uživatelé dostávají španělsky psaný spam,“ dodává Jirkal.
Osobní údaje, například e-mailové adresy, a citlivé údaje, třeba hesla, jsou pro útočníky velmi ceněné zboží. Odcizené údaje proto skládají do rozsáhlých databází, které dále prodávají. Velmi často je zneužívají k další kriminalitě.
Většina hrozeb se šířila v angličtině
Podobně jako na začátku prázdnin se na druhém místě umístil trojský kůň Formbook. V minulých měsících analytici zachytili velké kampaně tohoto kódu ve stejné dny jako výrazné útoky Spy.Agent.AES. „V srpnu se časová osa u obou hrozeb překrývala 30. srpna. Formbook zvyšoval svou prezenci v Česku již od druhé poloviny měsíce, výraznou kampaň jsme zachytili 23. srpna. Útoky byly vedeny v angličtině a útočníci se vydávali za zástupce dopravní společnosti,“ říká Jirkal.
Mírný pokles detekcí zaznamenali analytici u password stealeru Fareit. V srpnu neměl žádnou výraznější e-mailovou distribuční kampaň. Nejčastěji se malware skrývá v příloze, kterou útočníci vydávají za zprávu od dopravce nebo platební příkaz z banky. Jakmile uživatel přílohu otevře, spustí se malware, jehož cílem je odcizení hesel uložených v prohlížečích a FTP klientech. Podobně jako v případě předchozích typů malware se Fareit šířil v cizojazyčných e-mailech, především v anglickém jazyce.
Jak se chránit před spywarem?
Uživatelská hesla jsou v České republice dlouhodobě nejběžnějším terčem kybernetických útoků. Databáze s hesly jsou totiž pro útočníky komodita, kterou lze snadno a rychle zpeněžit. Odborníci doporučují zaměřit se především na prevenci podobných útoků. Malware se šíří zejména e-maily, experti proto apelují na obezřetnost při používání elektronické pošty. Podezřelé zprávy by uživatelé neměli vůbec otevírat, ale rovnou mazat či přesouvat do spamu. Zcela nezbytné je používání spolehlivého anti-malware programu.
„Důležitým krokem je neukládat si hesla do prohlížečů. Existují speciální programy určené ke správě hesel, zvané password managery. Ty ukládají hesla v šifrované podobě, takže je potenciální útočník nedokáže zneužít. Pořídit si je můžete i jakou součást prémiových anti-malware řešení,“ radí Jirkal. „Případně je možné využívat k tvorbě hesel nějakou mnemotechnickou pomůcku, aby nebylo nutné jakékoliv ukládání hesel. Je to ale také kompromis. Obvykle si takto uživatelé tvoří hesla slabší.“
Sílu hesla ostatně skloňují bezpečnostní experti často. Silné heslo by totiž mělo odolat také počítačovým pokusům o uhádnutí, tzv. slovníkovým útokům, během kterých útočník zkouší objemný seznam hesel ve snaze prolomit přístupy uživatele. Nejvhodnější je používat spíše delší kombinace různých znaků nebo několikaslovné fráze. Optimální je tvořit si unikátní přístupy pro každou službu, což ale dělá jen třetina Čechů.
Dalším krokem k vyššímu zabezpečení přihlašování je zapnutí dvoufaktorové autentizace, kdy uživatel každé přihlášení potvrzuje v aplikaci nebo kódem z SMS.
Nejčastější kybernetické hrozby v České republice za srpen 2021:
- MSIL/Spy.Agent.AES trojan (36,57 %)
- Win32/Formbook trojan (15,10 %)
- Win32/PSW.Fareit trojan (6,59 %)
- VBA/Agent.AAB trojan (1,70 %)
- WinGo/RanumBot trojan (1,47 %)
- MSIL/Spy.Agent.DFY trojan (0,97 %)
- Win64/Farfli trojan (0,89 %)
- Win32/Delf.NBX virus (0,86 %)
- Win32/Agent.TJS trojan (0,83 %)
- BAT/CoinMiner.ARV trojan (0,66 %)