V červenci analytici zachytili masivní kampaň trojského koně, který měl za úkol odcizit uživatelská hesla a nabourat se do některých komunikačních aplikací. Právě útoky na hesla patří v Česku k nejčastějším. Malware se šíří především e-maily. Vyplývá to z pravidelné statistiky společnosti ESET.
V minulém měsíci se museli uživatelé potýkat s rozsáhlou kampaní trojského koně Spy.Agent.CTW. Jedná se o velmi propracovaný malware, který stál za celou čtvrtinou detekcí. Přitom ještě v červnu mohl jen za procento zablokovaných útoků. Spy.Agent.CTW má několik funkcí, cílem všech je ale odcizit přihlašovací údaje ke konkrétním službám.
Dokáže získat uložená hesla z e-mailových aplikací Office Outlook, Foxmail a Thunderbird. Mimoto získává hesla také z velkého množství webových prohlížečů a některých aplikací, jako je Telegram či QQ Browser. Některé verze malware se dokáží nabourat do aplikací jako je například Discord, která je populární především mezi hráči počítačových her. Útok navíc přichází v době, kdy se Discord snaží nabídnout služby i firmám pro komunikaci při práci na dálku. Pokud přístup skutečně získá, dokáže útočník odesílat vzkazy jménem napadeného účtu.
Červencová kampaň Spy.Agent.CTW mířila především na české uživatele, dále na Rumunsko a v menší míře také na Řecko. Tento malware se nejčastěji šířil infikovanými e-maily v příloze s názvem Material requirements.exe.
Druhou nejčastější hrozbou byl podobný trojský kůň Spy.Agent.AES. Výraznou kampaň tohoto malware zaznamenali analytici v průběhu května a června. V květnu se dokonce útočníci zaměřili specificky na Českou republiku.
„V červenci se zájem tvůrců toho malware přesunul i do dalších zemí, proto počet detekcí tak výrazně klesl. Spy.Agent.AES není tak popracovaný, má výrazně méně funkcí – v podstatě jedinou a to získávání hesel z prohlížečů,“ uvedl Martin Jirkal z ESETu.
Spy.Agent.AES je jedním z mála malware, který útočí v češtině. Nejčastěji se šířil v infikovaných přílohách e-mailů, které útočníci vydávají za faktury nebo logistické dokumenty.
Na hesla cílí i backdoor Formbook. Analytici zachytili výraznou kampaň tohoto malware v květnu. Po červnovém poklesu v červenci opět tato hrozba posílila. Podle dat byl FormBook nejvýraznější v zemích jihovýchodní Evropy.
FormBook vývojáři jej nabízejí na černém trhu jako službu k pronájmu. Také FormBook získává hesla uložená v různých prohlížečích.
Nejčastější kybernetické hrozby
ČR, červenec 2020
1. Trojan.MSIL/Spy.Agent.CTW (24,71 %)
2. Trojan.MSIL/Spy.Agent.AES (9,19 %)
3. Trojan.Win32/Formbook (5,49 %)
4. Trojan.Win32/PSW.Fareit (4,55 %)
5. Worm.MSIL/Autorun.Spy.Agent.DF (3,97 %)
6. Backdoor.Java/Adwind (1,43 %)
7. Backdoor.Win32/Tofsee (1,26 %)
8. Backdoor.Win32/Agent.UAW (0,94 %)
9. Trojan.Win32/Spy.Socelars (0,94 %)
10. Trojan.MSIL/Spy.Agent.CSS (0,91 %)