I přes pokles v počtu detekcí na přelomu roku zůstává spyware Agent Tesla stabilním rizikem pro uživatele operačního systému Windows v České republice. Jak spyware Agent Tesla, tak spyware Formbook, další ze stabilně přítomných škodlivých kódů, se v lednu šířily prostřednictvím anglicky pojmenovaných příloh, útočné kampaně s využitím češtiny byly naopak doménou password stealeru Fareit. Infostealery, mezi které se spyware a password stealer řadí, zůstávají hlavní hrozbou pro uživatele v Česku a bezpečnostní specialisté budou v následujícím období sledovat především vývoj strategií těchto útoků. Nevylučují, že se útočníci zaměří na zlepšení překladů do češtiny. Vyplývá to z pravidelné statistiky hrozeb od společnosti ESET.
Spyware Agent Tesla v lednu posílil o několik procent. Zatímco v prosinci ho bezpečnostní specialisté detekovali ve zhruba desetině všech případů, v lednu už celkový počet detekcí vzrostl na 15,14 % všech detekovaných hrozeb pro operační systém Windows v Česku.
„V Česku můžeme pozorovat střídající se kampaně, které jsou buď vedené globálně, v angličtině, nebo se snaží lokálně přizpůsobit zdejším uživatelům využitím českých překladů, které ale zpravidla nebývají správné a mohou uživatele upozornit na to, že něco není v pořádku,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce ESET. „Spyware Agent Tesla se v lednu nejčastěji šířil v příloze s názvem PAYMENT SLIP_002_JPEG.exe a nejvíce aktivní byl ve dnech 12. a 30. ledna.“
Druhým nejčastějším škodlivým kódem, který spyware Agent Tesla již více než rok v útočných kampaní v Česku doprovází, zůstává spyware Formbook. Útočil především od 23. ledna a nejčastěji se objevoval v příloze s názvem RFQ-HKSCAN.exe. V jednotkách procent ani v lednu nechyběl password stealer Fareit, který je i přes malý počet detekcí v Česku stabilní. V jeho případě se objevily útoky v češtině.
„Útočníci využívají v případě infostealerů manipulativní komunikaci a snaží se uživatele přesvědčit, že příloha v e‑mailu obsahuje nějaké důležité informace. Zatímco Agent Tesla i Formbook se tentokrát šířily v anglicky psaných e-mailech s anglicky pojmenovanými přílohami, Fareit se objevoval v přílohách s názvy Objednávka TR04_ B004-V021_Patrem S.R.O.exe, Unicredit_SVX5700736_Elektronická platební.exe či Objednávek(P.O_R6790074)_INTERCOM_Bohemia.exe. Pokud se na přílohy podíváte, můžete pozorovat jasně viditelné chyby vzniklé nesprávným překladem. Uživatelé ale mohou ve spěchu a v nepozornosti přílohy otevřít v domnění, že se jedná o skutečný doklad k objednávce nebo o fakturu,“ říká Jirkal.
Čeština je podle bezpečnostních specialistů stále jedním z důvěryhodných ukazatelů, že komunikace, a to nejen v e-mailu, ale také v chatovacích aplikacích nebo v SMS, není v pořádku a může se jednat o snahu získat přístup k našim údajům. Je to ale oblast, na kterou se mohou útočníci v budoucnu zaměřit.
Nejčastější hrozby pro Windows
ČR, leden 2023
1. MSIL/Spy.AgentTesla trojan (15,14 %)
2. Win32/Formbook trojan (9,61 %)
3. Win32/PSW.Fareit trojan (1,96 %)
4. MSIL/Spy.Agent.AES trojan (1,95 %)
5. Win32/Shafmia trojan (1,43 %)
6. BAT/Runner trojan (1,22 %)
7. MSIL/Disdroth trojan (1,17 %)
8. MSIL/Spy.RedLine trojan (1,15 %)
9. Win32/Warzone trojan (1,01 %)
10. Win32/Spy.VB.OLN trojan (0,92 %)
Zdroj: Eset