Nejčastěji detekovaným škodlivým kódem pro operační systém Windows v Česku byl v březnu opět spyware Agent Tesla, přestože počet jeho detekcí oproti předchozímu období poklesl. Doplnil ho opět spyware Formbook. Ani jeden ze zástupců spywaru, který patří mezi největší rizika pro naše přihlašovací údaje, však necílil přímo na Česko. Na předních místech pravidelné statistiky se v březnu objevil také trojský kůň AsyncRAT. Uživatelé stáhnou tento malware většinou ve formě škodlivého programu, který může přes server útočníků posléze stahovat celou řadu doplňkových pluginů s různými škodlivými funkcemi. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.
Zatímco spyware Agent Tesla v březnu utlumil svou aktivitu, spyware Formbook se nadále objevuje ve zhruba stejném objemu zachycených případů. V březnu se pak na předních místech statistiky nově objevil trojský kůň AsyncRAT.
„Spyware Agent Tesla se v březnu neobjevil v žádné větší útočné kampani a ani přílohy s názvy v češtině tentokrát nebyly výrazněji zastoupeny – v zachycených detekcích nejčastěji vidíme, že se útočníci stále snaží uživatele zmást přílohami s názvy poptávka nebo děkovný dopis. Jedná se však o případy, se kterými se mohli čeští uživatelé setkat již v minulých měsících. Spyware Formbook se objevil ve velké kampani z 11. března, ale i v jeho případě byly česky přeložené názvy příloh pouze ojedinělým jevem,“ shrnuje vývoj kybernetických hrozeb na platformě Windows v Česku Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
„Trojský kůň AsyncRAT je po malwaru Rescoms z minulého měsíce dalším novým škodlivým kódem na předních místech statistiky kyberhrozeb v Česku. Jedná se o běžného trojského koně typu RAT, tzv. Remote Access Trojan. Jakmile se jednou dostane do systému, umožní útočníkům nad ním získat vzdálenou kontrolu. Jeho zdrojové kódy jsou veřejně dostupné na internetu a každý si je tak může stáhnout a upravit si škodlivý kód pro své účely. Proto má tento malware řadu různých variant s různými funkcemi – pro krádeže citlivých údajů, monitorování našeho chování nebo zneužití našeho počítače k dalším útokům,“ dodává Jirkal.
Spyware Agent Tesla se v březnu nejčastěji objevoval v příloze „RFQ_C3682402292141.exe“, v menším počtu také v přílohách „Poptavka 00413_pdf.exe“ nebo „děkovný dopis.docx.exe“. Spyware Formbook se nejčastěji ukrýval v příloze s názvem „RFQ RT1120 #10324.exe“. Ani trojský kůň AsyncRAT se neobjevil v příloze s názvem v češtině – nejčastěji jsme na něj mohli narazit v příloze „BL109533.exe“.
Různé funkce modulů, různé formy zneužití
Trojský kůň AsyncRAT funguje v podobě základního programu, kterým útočníci infikují systém oběti. Program je pak závislý na serverech útočníků, z nichž stahuje moduly (pluginy) s různými funkcemi. Útočníci tak mohou stále vyvíjet nové funckionality a na dálku přes své servery je poskytovat základnímu škodlivému programu ke stažení.
„Trojský kůň AsyncRAT je nebezpečný právě rozsahem možných funkcí, které mohou útočníci průběžně vyvíjet a svůj útok tak přizpůsobovat, aniž by museli znovu vymýšlet cesty, jak dostat škodlivý kód k uživatelům. Jednotlivé funkcionality se poté instalují prostřednictvím různých pluginů. Mezi základní funkce patří například vzdálené monitorování a zaznamenávání obrazovky našeho zařízení, nahrávání pomocí webkamery, manipulace se soubory, zaznamenávání stisků kláves na klávesnici nebo krádež hesel a souborů cookies z prohlížečů Chrome či Firefox,“ vysvětluje Jirkal.
Dále mohou pluginy trojského koně AsyncRAT obsahovat i pokročilé funkce pro komplexnější typy útoků. Mezi ně patří například spuštění .NET kódu, možnost těžit kryptoměnu XMR (Monero) nebo tzv. seedování torrentů, tedy šíření torrentu s účelem udržet ho dostupný ke stažení. Jednou z dostupných funkcí je ale také možnost spustit útok typu DDoS, který je například v posledním roce velmi častým typem útoku na veřejné instituce v ČR.
Nejčastější pro Windows
ČR, březen 2024
1. MSIL/Spy.AgentTesla trojan (11,29 %)
2. Win32/Formbook trojan (7,36 %)
3. MSIL/AsyncRAT trojan (6,97 %)
4. VBS/Agent.RSN trojan (6,91 %)
5. VBS/Agent.QMG trojan (6,01 %)
6. Win32/Rescoms trojan (3,41 %)
7. MSIL/Agent.WTJ trojan (2,65 %)
8. Win32/PSW.Fareit trojan (2,21 %)
9. MSIL/Spy.Agent.AES trojan (1,61 %)
10. PowerShell/Agent.BLP trojan (1,03 %)
Zdroj: Eset