Martin SkýpalaV poslední době společnost ESET zaznamenala malware kampaň škodlivého kódu Win32/Bayrob. Jde o trójského koně, který začal intenzivně útočit zhruba v půli prosince loňského roku.
Podobně jako mnohé další hrozby i Bayrob je distribuován pomocí infikovaných příloh v e-mailech. Tvůrci vše zabalili do sociálně inženýrského obalu společnosti Amazon, takže uživatel našel v e-mailové schránce na první pohled důvěryhodný e-mail. Při pozornějším zkoumání však bylo jasné, že jde o podvod. Adresa odesílatele neměla s Amazonem zcela nic společného.
Dalším varování bylo, že příloha obsahovala spustitelný soubor. Pokud na něj uživatel kliknul a nezafungoval rezidentní štít antivirového programu, na obrazovce se objevila hláška o tom, že soubor nelze spustit.
Upozornění však mělo za úkol uživatele pouze ujistit, že se nic nestalo. Ve skutečnosti se však už rozjel na počítači klasický malware kolotoč. Bayrob se zaregistroval jako systémová služba a upravil systémové registry tak, aby si zajistil opětovné spuštění při každém zapnutí počítače.
Jako u většiny malware kampaní z poslední doby, je i Win32/Bayrob pouze vstupní branou do počítače uživatele. Proto se ihned po úspěšné infekci snaží připojit k řídícímu serveru (ten je pod kontrolou útočníka) a postupně začne do infikovaného počítače stahovat další škodlivý kód. To může později vést například k phishigovým útokům při používání internetového bankovnictví a v konečném důsledku třeba k vykradení bankovního účtu, Paypalu a podobně.
Win32/Bayrob řádil hlavně v bohatších koutech světa – v Evropě, Jižní Africe, Austrálii a na Novém Zélandě, což je logický důsledek faktu, že se snažil imitovat e-maily Amazonu
V této souvislosti je zajímavé, že z nějakého důvodu vůbec neútočil na další lukrativní trh – USA. Možná si chtěli tvůrci nejprve otestovat úspěšnost kampaně, vylepšit „nedostatky“ a k útoku dojde v dalších měsících tohoto roku. Uvidíme.
Lucie Mudráková
Tereza Malkusová
