Projděte si výběr těch nejzajímavějších, které se nám podařilo v loňském roce odhalit. Útočníci se v roce 2019 činili. Jaké nové typy škodlivých kampaní a hrozeb připravili?
Android/Clipper.C: první clipper malware v Google Play
Clipper dokáže ukládat, kopírovat a vkládat text zkopírovaný do schránky. V únoru jsme ale objevili v Google Play malware určený pro mobilním zařízení s operačním systémem Android, který dokázal uložený text přepisovat.
Objevili jsme jej v aplikaci MetaMask, kterou útočníci vydávali za legitimní službu. Legitimní služba MetaMask slouží ke správě kryptoměn a platbám. Jelikož adresy kryptopeněženek bývají dlouhé, uživatelé často uloženou adresu kopírují. Toho útočníci zneužili a jejich malware dokázal adresu zaměnit a platbu poslat útočníkům, místo zamýšlenému adresátovi.
Android/Filecoder.C: návrat mobilního ransomware
Filecoder.C umožnil útočníkům zašifrovat soubory na mobilním zařízení. Za dešifrování musela oběť zaplatit přibližně 3 000 Kč v bitcoinech. Tato rodina malware se objevila po dvouletém poklesu detekcí ransomware cílených na systém Android.
Malware se šířil prostřednictvím online fór. Na fóru např. Reddit, lákali útočníci na pornografický obsah. Otevřením odkazu se malware do zařízení stáhl. Ze zařízení se následně na všechny uložené kontakty rozeslala varovná infekční zpráva v jednom ze 42 jazyků. SMS upozorňovala na neoprávněné použití fotografie adresáta s odkazem, kde je fotografie zveřejněna. Ťuknutím na odkaz došlo ale opět ke stažení malware a dalšímu rozesílání SMS na kontakty z telefonního seznamu adresáta. Zařízení, která SMS odeslala, byla následně zašifrována a bylo požadováno výkupné. Naštěstí pro uživatele byly překlady značně neprofesionální, takže se řada uživatelů nenechalo poplašnou zprávou vyvést z míry. I samotný Filecoder.C obsahoval chyby v šifrování.
Machete: špionáž vládních institucí v Latinské Americe
Machete zneužívali útočníci pro kyberšpionážní operace především ve Venezuele. V menší míře jsme jej zaznamenali také v Ekvádoru, Kolumbii a Nikaragui. Operátoři malware se zaměřovali především na instituce, jako například armádu, školy či policii. Útočníci takto získávali důvěrné dokumenty.
Malware se šířil prostřednictvím cílených e-mailů, které často obsahovaly i skutečné dokumenty, které se útočníkům podařilo odcizit dříve. Zprávy tak na adresáty působily velmi věrohodně. E-maily nicméně obsahovaly odkaz nebo přílohu, které infikovaly zařízení. Útočníci mohli pořizovat screenshoty, zaznamenávat stisknuté klávesy nebo získávat šifrované dokumenty.
Varenyky: spam, který oběti natáčel
Varenyky je pokročilý spambot, který útočil především ve Francii. Vlastní škodlivý kód měl několik nebezpečných funkcí. Malware se šířil prostřednictvím infikovaných příloh e-mailů, které se maskovaly jako účetní dokumenty. Pokud adresát povolil v dokumentu makra, malware zařízení kompromitoval a mohl nahrávat obrazovku uživatele.
Obvykle podobné kampaně vydírají uživatele pouze domnělou nahrávkou, poprvé jsme se ale setkali s malwarem, který podobnou funkci skutečně měl.
KRACK: Zranitelnost zařízení Echo a Kindle
V říjnu jsme zjistili, že řada zařízení fungujících na Wi-Fi – například Amazon Echo – jsou stále zranitelné vůči tzv. KRACKu (Key Reinstallation Attacks). Tento typ zranitelnosti byl odhalen už v roce 2017 a ještě tentýž rok vydal bezpečnostní tým Amazonu aktualizaci s opravou.
Naše zjištění ale dokazují, že po dvou letech představuje KRACK reálnou hrozbu. Zranitelnost umožňuje útočníkům provádět DoS útoky, narušit síťovou komunikaci a získávat citlivé informace, včetně hesel.
Výčet hrozeb, které jsme dokázali odhalit, tímto ale nekončí. Útočníci neustále pracují na nových metodách infikaci nebo skrýváním se před detekčními nástroji. Chcete být v obraze? Detailní analýzy všech malware, najdete v angličtině na WeLiveSecurity.com nebo sledujte český blog a magazín Dvojklik.