V necelé pětině všech detekovaných případů kybernetických hrozeb pro operační systém Windows v Česku se v červenci objevil spyware Agent Tesla. Druhou nejčastější detekci představuje další spyware Formbook. Mezi nejčastější detekované škodlivé kódy patřil dále Fareit, prostřednictvím kterého se útočníci snažili získat hesla českých uživatelů. V tomto případě se v červenci objevily nové verze nebezpečných příloh s českými názvy. Vyplývá to z pravidelné statistiky kybernetických hrozeb společnosti ESET.
Útoky spojené z Agent Tesla v červenci probíhaly především v angličtině a nejčastější škodlivá příloha byla tentokrát pojmenovaná Payment Advice OIS641PF RO_PDF.exe. „Útočné kampaně s využitím spywaru Agent Tesla jsme tentokrát zaznamenali především ve dnech 7. a 11. července. Útočníci šíří tento druh škodlivého kódu prostřednictvím strategie, kterou v Česku pozorujeme již několik měsíců a která spočívá ve zneužívání škodlivých příloh s příponou .exe. Oproti jiným kampaním je v tomto případě používaným jazykem angličtina,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
V desetině všech detekcí se v červenci opět objevil spyware Formbook. Šířil se tentokrát prostřednictvím přílohy, která měla název IUMh2If0uRXe0K7.exe. Spyware, který se v Česku šíří hlavně přes anglicky nebo česky pojmenované přílohy odkazující na platební transakce a různé doklady, tím na sebe upozornil bezpečnostní experty. „Útočníci se ve svých kampaních prozatím vždy snažili uživatele přesvědčit, že sdělení e-mailu je opravdové a týká se nějaké reálné situace. To také potvrzovaly názvy příloh jako objednávka, účtenka nebo faktura. Uživatele pak mohlo varovat, pokud byl e-mail pouze v angličtině, nebo když útočníci nepoužili češtinu správně,“ uvádí Jirkal. „S červencovou přílohou lze vidět posun útočníků v jejich strategii. Strategie šíření spywaru Formbook už se primárně nezaměřuje na přesvědčování obětí k otevření infikované přílohy, ale spíše na obcházení bezpečnostních řešení.“
Password stealer Fareit byl v červenci detekován jen v necelých pěti procentech případů, jako jediný se však cíleně zaměřuje na české uživatele. „Password stealer Fareit byl v Česku nějakou dobu málo aktivní. To se ale změnilo na začátku letošního roku a Fareit se začal postupně opět zaměřovat na české uživatele. Nejvýraznější útočné kampaně měl tentokrát 7. a 11. července,“ říká Jirkal a dodává: „V červenci jsme v jeho případě také identifikovali nové mutace škodlivých příloh v češtině s názvy Produkty_objednany_P.O_4704526-doc.exe nebo Objednávka_P.O.52204962_EXIM-TECH.exe. I když se password stelaer Fareit zatím objevuje v menším počtu případů, počet e-mailů v češtině zatím každý měsíc roste.“
Password stealer Fareit dokáže odcizit hesla nejen z internetových prohlížečů, ale také z chatovacích aplikací, e-mailu nebo služeb VPN či FTP.
Nejčastější hrozby
pro OS Windows, ČR, červenec 2022
1. MSIL/Spy.AgentTesla trojan (18,65 %)
2. Win32/Formbook trojan (9,33 %)
3. Win32/PSW.Fareit trojan (4,71 %)
4. MSIL/Spy.Agent.AES trojan (3,22 %)
5. Win32/Agent.TJS trojan (2,43 %)
6. VBS/Agent.QDF trojan (2,42 %)
7. VBS/Agent.QEG trojan (2,30 %)
8. MSIL/Spy.Agent.DFY trojan (1,44 %)
9. BAT/CoinMiner.AUB trojan (1,03 %)
10. VBS/Agent.QEN trojan (0,89 %)
Zdroj: ESET