Podle poslední statistiky nejčastějších hrozeb pro operační systém Windows v Česku je s téměř pětinou všech detekcí největším rizikem spyware Agent Tesla. Kybernetičtí útočníci využili k jeho šíření opět česky pojmenované přílohy. Bezpečnostní experti ze společnosti ESET v říjnu sledovali možné propojení všech nejčastějších útoků a domnívají se, že za nimi může stát stejný útočník nebo skupina útočníků. Nejčastější e-mailové přílohy, jejichž prostřednictvím se malware v českém prostředí šířil, tentokrát odkazovaly na dokumenty k platbám, jako jsou faktury nebo potvrzení od přepravních společností.
Největší útok spywaru Agent Tesla proběhl v České republice 3. října. Cílem útočníků, kteří tento škodlivý kód ve svých útočných kampaních využívají, jsou uživatelská hesla. Zranitelná a snadno dostupná jsou pak především hesla uložená v internetových prohlížečích.
„Počet detekcí spywaru Agent Tesla se i další měsíc drží stabilně na zhruba pětině všech zachycených případů pro platformu Windows v Česku,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „U říjnových útoků jsme mohli tentokrát pozorovat strategii, ve které se útočníci zaměřili na země ve střední a jihovýchodní části Evropy a na Turecko. Česká republika byla v říjnu čtvrtou nejvíce zasaženou zemí,“ dodává Jirkal.
Spyware se dlouhodobě šíří prostřednictvím nebezpečných e-mailových příloh. Na spyware Agent Tesla mohli uživatelé v říjnu narazit především v e-mailu s česky pojmenovanou přílohou Zpusob_platby, jpg.exe.
V počtu kolem desetiny všech detekcí se v říjnu objevily také další stabilně přítomné škodlivé kódy v Česku, a to password stealer Fareit a spyware Formbook.
„Největší aktivitu jsme u password stealeru Fareit zaznamenali ve dnech 11. až 12. října. Útočníci tentokrát své útoky nelokalizovali do češtiny, nejčastěji jsme narazili na infikovanou přílohu s názvem Enquiry&Specification.exe,“ říká Jirkal.
Spyware Formbook se v útocích objevoval stejně jako Agent Tesla 3. října a stejně jako password stealer Fareit 11. října. Podle bezpečnostních expertů může jeho chování ukazovat na jistou provázanost všech těchto útoků.
„Není nic neobvyklého, že si jeden útočník nebo skupina útočníků na černém trhu koupí více typů různého malwaru a pak je ve svých útocích souběžně využívá. V případě spywaru Formbook jsme nejčastěji narazili na přílohy s názvy DHL Notification_pdf.exe či Potvrzení_platby,png.scr. Právě druhá jmenovaná příloha má velmi nápadnou podobnost s přílohou, která se objevila v útocích spywarem Agent Tesla. Můžeme tak usuzovat, že za útoky může být opravdu stejný distributor malwaru,“ shrnuje Jirkal.
Nejčastější hrozby
pro Windows, ČR, říjen 2022
1. MSIL/Spy.AgentTesla trojan (19,18 %)
2. Win32/PSW.Fareit trojan (12,12 %)
3. Win32/Formbook trojan (9,26 %)
4. MSIL/Spy.Agent.AES trojan (3,79 %)
5. VBS/Agent.QJA trojan (3,60 %)
6. Win32/Delf.NBX virus (2,53 %)
7. VBS/Agent.QJV trojan (1,55 %)
8. DOC/Agent.IS trojan (1,43 %)
9. Win32/Rescoms trojan (1,10 %)
10. VBS/Agent.QKF trojan (0,86 %)
Zdroj: ESET