Praha 11. září 2019 – Výzkumný tým společnosti ESET odhalil spamovou kampaň, v rámci které útočníci distribuovali malware ve Francii. Vlastní škodlivý kód označený jako Varenyky má několik nebezpečných funkcí. Mezi jinými může být zneužitý k rozesílání spamu, dokáže odcizit hesla nebo nahrávat obrazovku oběti při prohlížení stránek týkajících se pornografie či kryptoměny bitcoin.
„Varenyky je škodlivý kód distribuovaný pomocí spamové kampaně v podobě falešné faktury za zboží, kterou má uživatel údajně ověřit. Malware disponuje řadou nebezpečných funkcí, počínaje možností stáhnout a spustit další malware, komunikací s řídícím server pomocí sítě TOR a konče třeba schopností spamovat, krást hesla nebo nahrávat dění na obrazovce,“ říká Miroslav Dvořák, technický ředitel pražské pobočky společnosti ESET. „To, co je na Varenyky neobvyklé, je skutečnost, že si pro svoji nekalou činnost vybírá právě a pouze jen francouzsky mluvící uživatele a to navíc pouze pokud mají ve svém operačním systému nastavenu jako domovskou zemi Francii,“ dodává Dvořák.
„Vyděračské kampaně, které požadují za nezveřejnění údajné nahrávky ze sledování stránek se sexuální tématikou, známe dobře i z České republiky. V tomto případě však skutečně nahrávka vzniká a operátoři Varenyky by ji mohli k vydírání zneužít. To se zatím nestalo a důvod proč k nahrávání dochází, tak není zcela zřejmý,“ vysvětluje Dvořák z české pobočky společnosti ESET. „Nicméně shodou okolností od 22. července začal Varenyky rozesílat nový druh spamu obsahující i z Čech známou a výše zmíněnou podvodnou vyděračskou kampaň. Jejím cílem jsou uživatelé domén wanadoo.fr a orange.fr. Vyděrači v ní požadují za nezveřejnění údajné nahrávky sledování pornostránek platbu v bitcoinech odpovídající částce 750 eur, tedy bezmála 20 tisíc korun,“ dodává Dvořák.
Malware se šířil z infikované přílohy e-mailu
Rozmach činnosti nového spamovacího bota se v telemetrii společnosti ESET objevil v květnu 2019. Při následném zkoumání jeho činnosti zjistili výzkumní pracovníci z ESETu, že se jedná o projev činnosti malware pojmenovaného Varenyky. K prvotní infiltraci použili jeho tvůrci notnou dávku sociálního inženýrství v podobě e-mailu s přílohou, kterou tvoří infikovaný wordovský dokument předstírající fakturu za zboží a útočníci žádají jeho verifikaci. Dokument po otevření manipuluje uživatelem tak, aby povolením maker a úprav v dokumentu spustil tzv. downloader, který stáhne vlastní škodlivý kód.
Kampaň Varenyky cílila výhradně na francouzsky hovořící uživatele ve Francii. Z analýz použitých textů, resp. velmi dobré úrovně gramatiky a znalosti jazyka, lze usuzovat, že nejde o strojový překlad, ale útočníci mluví nejspíše plynně francouzsky.
„Jakmile Varenyky infikuje zařízení, dojde k jeho spuštění. Jedno z vláken jeho procesu má za úkol rozesílat spam a to druhé plnit příkazy z kontrolního serveru,“ říká Alexis Dorais-Joncas, vedoucí výzkumného centra ESET v Montrealu. „Jeden z nejnebezpečnějších aspektů je, že malware vyhledává ve spuštěných aplikacích klíčová slova jako bitcoin či slova spojená s pornografií. Pokud nalezne některé z těchto klíčových slov, začne program nahrávat dění na obrazovce a posléze nahrávku odešle na kontrolní server,“ popisuje.
Spam, resp. phishing, který malware Varenyky od května rozesílal, měl podobu reklamní nabídky ke koupi chytrého telefonu a cílil opět pouze na francouzské uživatele společnosti Orange S.A. Cílem této kampaně byla snaha získat osobní údaje a informace o platebních kartách. Jediný takovýto bot dokázal rozeslat až 1 500 e-mailů za hodinu.
„Další pozoruhodnou funkcí tohoto malware je schopnost odcizit uživateli hesla uložená ve webovém prohlížeči nebo poštovním klientovi. Zneužívá k tomu aplikace, které mají sloužit k obnově zapomenutých hesel. Z tohoto důvodu je také ESET klasifikuje jako potenciálně nebezpečné,“ říká Dorais-Joncas.
Jak se chránit před Varenyky?
Experti uživatelům radí, aby byli opatrní při otevírání příloh e-mailů z neznámých zdrojů. Obezřetní bychom měli být i v reakcích na lákavé reklamní nabídky. Škodlivé přílohy útočníci v minulosti maskovali třeba jako faktury, exekuční příkazy, poukázky obchodních řetězců apod. Pokud vám tedy dojde urgentní výzva k úhradě nebo neodolatelná nabídka, je dobré zachovat chladnou hlavu a legitimitu sdělení si ověřit i z jiných zdrojů, např. telefonicky.
Základem obrany je také spolehlivý bezpečnostní program a aktualizace všech instalovaných programů i operačního systému počítače.
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.
Kontakt pro média:
Ondřej Šafář
PR manažer
tel: +420 233 090 264
tel: +420 776 234 218
ondrej.safar@eset.cz
Tereza Malkusová
Obsahová editorka
tel: +420 222 811 164
tel: +420 702 206 705
tereza.malkusova@eset.cz