V Česku útočily infostealery, a to ve více než polovině případů

Infostealer Formbook se v lednu opět objevil ve více než 40 procentech případů. Vrátil se tak na hodnoty z loňského listopadu. V počtu detekcí pak „posílil“ také škodlivý kód Agent.AES, a to s podílem 10 procent všech zachycených případů. Naposledy byl přitom takto aktivní během loňského léta.

Infostealery jsou dlouhodobou hrozbou pro operační systém Windows nejen v Česku. Jedná se o typ spywaru, který útočníci využívají pro špionážní aktivity a odcizení uživatelských dat, především přihlašovacích údajů do našich účtů. V zařízení se mohou chovat velmi nenápadně a trvá poměrně dlouho, než je uživatelé odhalí.

V případě infostealeru Formbook bezpečnostní experti zachytili dvě velké útočné kampaně – 6. a 16. ledna. Zdrojem škodlivého kódu zůstávají nebezpečné e-mailové přílohy, které vzbuzují dojem, že se jedná o nějaké faktury nebo objednávky. V lednu na Českou republiku cílily hlavně globální útoky v angličtině, české překlady se objevovaly pouze ojediněle.

V lednu se na přední místa opět vrátil také škodlivý kód Agent.AES. Jedná se rovněž o škodlivý kód, který řadíme mezi spyware a který útočníci využívají pro krádeže přihlašovacích údajů a dalších dat. Ačkoli je nyní nejvíce aktivním škodlivým kódem Formbook, je to právě malware Agent.AES, který je považován za jednoho z možných nástupců nechvalně proslulého spywaru Agent Tesla.

Před infostealery ochrání bezpečnostní software a kontrola e-mailů

Dlouhodobá „jednička“ mezi spywary, Agent Tesla, začal slábnout koncem minulého roku a bezpečnostní experti potvrzují, že se jedná o trvalý stav. Podle jejich informací totiž autoři škodlivého kódu již neplánují pokračovat v jeho vývoji.

Infostealer Formbook se v lednu nejčastěji objevoval v přílohách „CSZ inquiry for MH raw material.exe“ či „PO No. 0146850827805 HSP0059842.exe“. Malware Agent.AES zachytili experti z ESETu nejčastěji v příloze s názvem „Payment Error.cmd“.

Podle bezpečnostních expertů zůstává i přes proměny hrozeb prevence stále stejná. Důležité je dle nich věnovat pozornost zprávám, které máme ve svých e-mailových schránkách.

E-mailové přílohy se většinou zobrazují tak, že pořádně nevidíme skutečnou příponu názvu souboru, který je ke zprávě přiložený. Právě ale přípona nám může naznačit, že jsme v příloze obdrželi něco jiného než obrázek nebo dokument.

Pokud se podíváme na škodlivé přílohy z letošního ledna, můžeme vidět, že mají příponu .exe nebo .cmd. Jedná se o spustitelné soubory, nikoli o formáty, ve kterých bychom faktury a objednávky standardně očekávali – v PDF souborech nebo souborech programů Excel či Word.

Slábnoucí spyware Agent Tesla stále představuje riziko

V případě spywaru Agent Tesla detekční čísla stále viditelně klesají. V lednu jej bezpečnostní experti zachytili pouze v necelých třech procentech případů. Mělo se jednat především o staré kampaně z méně používaných e-mailových účtů. Spyware ukrývaly přílohy s názvy „SGJ780097-JWVY8560I-HHWQEUUIT6F6.bat“, „Zpusob_platby,jpg.exe“ nebo „Poptavka 00413_pdf.exe“.

„Protože infostealery mohou krást naše data po dlouhou dobu bez odhalení, spolehlivou ochranou je především profesionální bezpečnostní software, který zařízení pravidelně kontroluje na přítomnost škodlivého kódu. Moderní bezpečnostní řešení obsahují také celou řadu dalších užitečných funkcionalit, například tzv. správce hesel. Jedná se o specializované programy, které uchovávají naše přihlašovací údaje v bezpečné zašifrované podobě a automaticky je doplní, když se přihlašujeme do našich účtů, ať už se jedná o e-mail, internetové bankovnictví nebo e-shop,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.