Spyware Agent Tesla je nadále přední hrozbou pro uživatele OS Windows v ČR. I přes výraznější pokles detekovaných případů se spyware v září šířil v celé řadě příloh s názvy v češtině a bezpečnostní specialisté tak upozorňují, že spyware neztrácí na své nebezpečnosti. Uživatelům doporučují kontrolovat české překlady, které stále ve většině případů obsahují gramatické chyby, a mohou tak sloužit jako varování před škodlivým kódem. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.
Ačkoli ještě v červenci se spyware Agent Tesla objevoval téměř ve třetině všech detekcí, v září ho bezpečnostní experti evidovali v necelých 13 % všech zachycených případů škodlivého kódu pro operační systém Windows v České republice. Upozorňují však na to, že i přes současný pokles útočníci nadále investují do českých překladů útočných kampaní.
„Spyware Agent Tesla neměl v České republice během září žádnou větší útočnou kampaň. Množství nebezpečných příloh s českými názvy, jichž útočníci zneužívají k jeho šíření, se však vymykalo situaci, kterou v českém prostředí běžně pozorujeme. Zpravidla se totiž setkáváme s e-maily a přílohami v angličtině, které útočníci přímo pro české uživatele nepřekládají. České překlady mohou přitom zvýšit pravděpodobnost, že uživatelé nebezpečné přílohy ve chvilce nepozornosti otevřou a spyware vpustí do svého zařízení,“ říká k zářijovým číslům pravidelné statistiky Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
„Dlouhodobě můžeme u nebezpečných příloh šířících spyware pozorovat také jistou strategii. Dokumenty v přílohách mívají dvě koncovky, přičemž tu druhou z nich, příponu .exe, uživatelé nemusí vždy vidět. Namísto toho vidí jen domnělý dokument v programu MS Word, ve formátu PDF nebo obrázek, a ten mohou otevřít a přílohu tak spustit. Jistotu ochrany před spywarem tak mají vždy s bezpečnostním softwarem, který se na koncovky příloh v e‑mailech cíleně zaměřuje. Rozhodně by ale neměli rezignovat na to, že název přílohy sami zkontrolují,“ dodává Jirkal.
Nebezpečné e-mailové přílohy, jejichž prostřednictvím se spyware Agent Tesla v září šířil Českem, měly názvy „děkovný dopis.docx.exe“, „Poptavka 00413_pdf.exe“, „Zpusob_platby,jpg.exe“, „SMLOUVA-pdf.exe“.
Česky pojmenované přílohy se v září objevily také v případě spywaru Formbook a password stealeru Fareit. I přes to, že útočníci vsadili v případě zářijových kampaní na češtinu, nebývají překlady vždy správné a kontrola textu a názvů příloh může uživatele včas varovat, že něco není v pořádku.
„Ani spyware Formbook ani password stealer Fareit nebyly v září detekovány ve větším počtu případů. Škodlivý kód Fareit šířili útočníci například v e-mailech, které vydávali za zprávy od bank či logistických firem. Devět z deseti těchto e-mailů bylo přeloženo do češtiny,“ říká Jirkal.
„Útočníci mají k přípravě útoků k dispozici celou řadu nástrojů, a to dnes již včetně nástrojů umělé inteligence využívajících velkých jazykových modelů, jako je například ChatGPT. Stále se však uživatelé mohou setkat s jazykovými chybami. V září jsme tyto případy nejvíce viděli právě u password stealeru Fareit,“ dodává Jirkal.
Nejčastější hrozby pro Windows
ČR, září 2023
1. MSIL/Spy.AgentTesla trojan (12,72 %)
2. Win32/Formbook trojan (10,32 %)
3. Win32/PSW.Fareit trojan (2,15 %)
4. BAT/Agent.PZX trojan (2,07 %)
5. BAT/Agent.PZQ trojan (1,64 %)
6. MSIL/Spy.Agent.AES trojan (1,64 %)
7. Win32/Spy.VB.OLN trojan (1,59 %)
8. VBS/Agent.QMG trojan (1,05 %)
9. Win32/Rescoms trojan (1,01 %)
10. Java/Adwind trojan (0,98 %)
Zdroj: Eset