Počet detekcí spywaru Agent Tesla, který je v Česku dlouhodobě stabilním malwarem, dosáhl v červnu téměř třetiny všech případů škodlivého kódu pro operační systém Windows v Česku. Podle bezpečnostních expertů se jednalo o nejsilnější útok letošního roku. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET. Útočníci spyware šířili prostřednictvím e-mailových zpráv od německé společnosti, která u českých obětí chtěla objednat zboží. Celá zpráva byla lokalizována do češtiny, včetně falešných kontaktních údajů a adresy webových stránek.
V červnu zachytili bezpečnostní experti velký útok spywaru Agent Tesla na Českou republiku. Ještě v květnu byl přitom spyware v útlumu a na pomyslné první příčce pravidelné statistiky ho vystřídal škodlivý kód Agent.RWL. Minulý měsíc byl však spyware znovu detekován v téměř třetině všech zachycených případů.
„Za poslední rok, kdy prostředí kybernetických hrozeb v Česku pro operační systém Windows pravidelně monitorujeme, se jednalo bezesporu o největší útok spywaru Agent Tesla. Oproti silnému útoku z října loňského roku byla výše červnových detekcí téměř trojnásobná,“ shrnuje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Při bližší analýze škodlivé e-mailové zprávy, která obsahovala přílohu s ukrytým spywarem, jsme viděli, že útočníci přeložili do češtiny také kontaktní údaje domnělé společnosti, která obětem zasílala falešnou přílohu s názvem objednávka. Telefonní číslo mělo předvolbu +420 a doména webových stránek firmy pak příponu .cz. Reálně kontaktní údaje neexistovaly, zdá se tak, že útočníci využívají jeden společný vzor útočné zprávy, kterou pak automaticky překládají do dalších jazyků,“ vysvětluje Jirkal.
Nebezpečná e-mailová příloha, která obsahovala spyware Agent Tesla, měla v červnu název „Objednávka IMG_PO #00702441355 – č. 2400228341_pdf.exe“. Útočníci vydávali e-mail za zprávu od německé firmy IWK Verpackungstechnik S.r.o, která měla zájem o nákup zboží. Podle bezpečnostních specialistů tak e-mail cílil především na zaměstnance českých firem.
Příloha vypadá jako PDF dokument, je to ale spustitelný soubor
Mezi dalšími předními škodlivými kódy se i v červnu umístil dobře známý spyware Formbook a škodlivý kód Agent.BTQ, který se na předních místech statistiky objevil letos poprvé. Útočníci ho stejně jako spyware Agent Tesla zacílili přímo na Českou republiku, a to v příloze s názvem „Vyuctovani_2024_07-1206812497˙pdf.exe“. Spyware Formbook se v červnu objevil jen v celosvětových kampaních v příloze „RFQ#10112023Q4.exe“. Podle bezpečnostních specialistů u něj tentokrát nebyly české překlady příliš běžné.
„Škodlivý kód Agent.BTQ se v naší statistice objevil bez předchozích významnějších detekcí stejně, jako v květnu malware Agent.RWL. Jedná se o pokročilejší škodlivý kód, který může do počítače stahovat další malware. To, že se dva měsíce po sobě objevily v Česku jiné kódy, než je dlouhodobě detekovaný spyware, svědčí o tom, že útočníci pravděpodobně nakupují pokročilejší škodlivé kódy od jiných útočníků,“ říká Jirkal.
Malware se v případě operačního systému Windows nejčastěji šíří prostřednictvím škodlivých e-mailových příloh. Útočníci je vydávají za různé faktury nebo objednávky a mohou tak zmást především zaměstnance firem, kteří denně pracují s větším objemem e-mailové komunikace. Přípona .exe pak poukazuje na nějaký spustitelný soubor, nikoli na klasické dokumenty. Uživatelé nemusí takový soubor na první pohled rozeznat. Dokumenty v přílohách mohou mít dvě koncovky, přičemž tu druhou z nich, příponu .exe, uživatelé nemusí vždy vidět. Příloha se naopak může jevit jako dokument v programu MS Word, ve formátu PDF nebo jako obrázek.
Nejčastější hrozby pro Windows
ČR, červen 2024
1. MSIL/Spy.AgentTesla trojan (29,15 %)
2. PowerShell/Agent.BTQ trojan (8,84 %)
3. Win32/Formbook trojan (4,39 %)
4. Win32/Rescoms trojan (3,76 %)
5. VBS/Agent.QMG trojan (3,21 %)
6. VBS/Agent.SCA trojan (2,91 %)
7. VBS/Agent.SCB trojan (2,79 %)
8. MSIL/Spy.Agent.AES trojan (2,28 %)
9. VBS/Agent.SAI trojan (1,79 %)
10. Win32/PSW.Fareit trojan (1,39 %)
Zdroj: ESET