ESET: Kyberzločinci využili k odcizení hesel malware, kterým útočili také na Ukrajině

12. 05. 2022

Praha, 12. května 2022 – Nejčastější hrozbou pro uživatele zařízení s operačním systémem Windows byl v dubnu spyware Formbook. Bezpečnostní experti z ESETu detekují tento malware v Česku pravidelně a dlouhodobě. V dubnu se objevil ve více než pětině všech detekcí. Malware Formbook je škodlivý kód s mezinárodním dosahem, který se primárně na Česko nezaměřuje. Objeven byl například také v phishingové e-mailové kampani na ukrajinské vládní představitele. Na Česko se naopak od začátku roku 2022 cíleně zaměřil password stealer Fareit, který v dubnu ke svému šíření zneužíval názvy známých bank. Vyplývá to z pravidelné statistiky společnosti ESET.

Poprvé v letošním roce se nejčastěji detekovaným kódem v Česku stal spyware Formbook, který se v dubnu objevil ve více než pětině všech detekovaných případů. Bezpečnostní specialisté zaznamenali tři velké kampaně 11., 25. a 29. dubna. Nebezpečná příloha byla tentokrát pojmenovaná RFQ-22-03795.exe.

„Spyware Formbook aktuálně útočí hlavně v Turecku a ačkoli Česká republika nepatří mezi jeho hlavní cíle, stal se v dubnu nejčastěji detekovaným malwarem pro zařízení s operačním systémem Windows. Útočné kampaně probíhaly primárně v angličtině. Vyloučit ale nelze ani útoky v češtině, které se mohou v menší míře také objevit,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Spyware Formbook, který se v českém prostředí vyskytuje dlouhodobě, na sebe upoutal v posledních měsících pozornost také v souvislosti s phishingovým e-mailem, který byl adresovaný vysoce postaveným vládním představitelům na Ukrajině v únoru 2022. Formbook funguje jako tzv. MaaS (Malware-as-a-Service), to znamená, že si ho útočníci mohou zakoupit jako službu na černém trhu.

„Pokud malware Formbook infikuje zařízení, přebere nad ním prakticky plnou kontrolu. Mezi nejznámější funkce tohoto spywaru patří samozřejmě krádež hesel a citlivých dat z e-mailových klientů a z webových prohlížečů, dokáže ale také pořizovat snímky obrazovky, zaznamenávat stisky kláves nebo stahovat a spouštět další malware,“ vysvětluje Jirkal.

Malware Fareit cíleně útočí na české uživatele

Agent Tesla v dubnu oslabil a neměl v Česku žádnou větší útočnou kampaň. Útočníci ale tentokrát opět aktivně využívali česky pojmenované přílohy.

„Nejběžnější škodlivá příloha byla v dubnu pojmenovaná Order.pdf.exe, objevily se ale také do češtiny přeložené verze SMLOUVA-pdf.exe a Kopie oprav účtenky za 11,2021...exe. Použití češtiny v útočných e-mailových kampaní je vždy ukazatelem toho, že Česká republika patří mezi cílové země útoku,“ říká Jirkal.

Password stealer Fareit, který začal v Česku opět silněji útočit od začátku letošního roku, zkouší dle predikcí bezpečnostních specialistů nové strategie. V dubnu útočníci zneužívali k jeho šíření názvy známých bank.

„Malware Fareit využíval v dubnu česky pojmenované přílohy ze všech škodlivých kódů nejaktivněji. Zneužití názvů známých bank je s největší pravděpodobností strategií, jak zlepšit úspěšnost tohoto malware v útocích na české uživatele,“ říká Jirkal a dodává: „I když je v tomto případě riziko spuštění infikované přílohy uživatelem vysoké, úroveň češtiny byla v případě útoku malwaru Fareit špatná a uživatele to mohlo včas varovat, že něco s e-mailem není v pořádku. Škodlivé přílohy byly do češtiny strojově překládány jako Objednávek (P.O_R6790074) či Elektronická platební.exe.“

V případě spywaru je třeba chránit hlavně hesla

Přestože se prostředí kybernetických hrozeb v Česku pravidelně proměňuje, cílem stále zůstávají uživatelská hesla. Ty útočníci využívají k dalším útokům, nebo s nimi obchodují na černém trhu. Hlavní obranou před kybernetickými útoky je tak především jejich bezpečná správa.

„Uživatelům doporučujeme myslet na bezpečnost již v samotném začátku, tedy při samotné tvorbě hesel. Silné heslo by mělo být složeno z různorodých, ideálně deseti a více znaků či heslových frází a obsahovat malá a velká písmeny a číslice. Dalším krokem je jejich bezpečné ukládání. Rozhodně nedoporučujeme hesla ukládat do webových prohlížečů, které nejsou před útoky spywaru dostatečně zabezpečené. K bezpečné správě slouží například správce hesel, specializovaný program, který ukládá hesla v zašifrované podobě,“ říká Jirkal z ESETu.

K úplnému zabezpečení je také důležité operační systém zařízení a všechny programy v něm pravidelně aktualizovat a používat kvalitní bezpečnostní software.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2022:

Win32/Formbook trojan (23,54 %)
MSIL/Spy.AgentTesla trojan (15,73 %)
Win32/PSW.Fareit trojan (4,76 %)
MSIL/Spy.Agent.AES trojan (4,65 %)
Win32/Agent.TJS trojan (2,34 %)
VBS/Agent.PNB trojan (1,48 %)
Win32/AutoRun.Delf.LV worm (1,34 %)
MSIL/NanoCore trojan (1,03 %)
Java/Adwind trojan (0,89 %)
BAT/CoinMiner.AUB trojan (0,86 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.