Přinášíme vám ucelený přehled o tom, jaké jsou největší kybernetické hrozby současnosti v České republice pro platformy Windows, macOS a Android. Souhr je založen na pravidelných statistiká kybernetických hrozeb za minulý měsíc, které detekovala a analyzovala společnost ESET.
Kybernetické hrozby pro Windows
Nejběžnějším kybernetickým útokem v České republice byl v srpnu spyware. Jedná se o škodlivý kód, který získává nějaké citlivé informace bez vědomí uživatele. V Česku jde o takzvané password stealery, ty se zaměřují na odcizení přihlašovacích údajů. Šíří se zejména spamem.
Za více než třetinou detekcí v srpnu stál malware Spy.Agent.AES, známý také jako Agent.Tesla. Jde o typického zástupce spyware se zaměřením na odcizení hesel. Celosvětově se jedná o velmi agresivní typ škodlivého kódu. Globálně jeho operátoři útočili spíše na začátku měsíce, na Českou republiku se podle dat zaměřili až na konci léta.
Spy.Agent.AES obsahuje funkce, které proskenují internetové prohlížeče a další programy, například mailové klienty Microsoft Outlook, Mozilla Thunderbird nebo Yandex. Kód aktivně vyhledává uložené přihlašovací údaje, které následně odesílá útočníkům.
„Tento malware se nejčastěji šířil v přílohách v portugalštině a později také španělštině. Není sice neobvyklé, že se i k českým uživatelům dostanou zahraniční kampaně, ale běžně Česko nefiguruje mezi cílovými státy, jak tomu bylo například minulý měsíc. Domníváme se, že v tomto případě útočníci spíše nakoupili nevhodný seznam potenciálních obětí,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. Varuje také, že pokud uživatel přílohu cizojazyčného e-mailu otevře, může být i tak Spy.Agent.AES velmi nebezpečný.
Škodlivé kódy i e-maily uživatelů si útočníci kupují
Spyware útočníci běžně nabízejí na darknetu jako službu k pronájmu, což platí i pro všechny kybernetické hrozby detekované v České republice. Kyberzločin se tak otevírá i lidem, kteří nejsou technicky dostatečně zkušení, aby dokázali vytvořit vlastní malware. Je možné si pronajmout škodlivý kód, jeho distribuci i úložiště, kam se odešlou odcizená hesla.
„V tomto kontextu mluvíme o malware-as-a-service, tedy malware jako službě. Někdy si kupující zajišťuje distribuci sám a pak detekujeme cíleně mířené kampaně v češtině, jindy si kupuje i způsob, jak se malware dostane k uživatelům. Pak může dojít k takovým omylům, jako že čeští uživatelé dostávají španělsky psaný spam,“ dodává Jirkal.
Osobní údaje, například e-mailové adresy, a citlivé údaje, třeba hesla, jsou pro útočníky velmi ceněné zboží. Odcizené údaje proto skládají do rozsáhlých databází, které dále prodávají. Velmi často je zneužívají k další kriminalitě.
Většina hrozeb se šířila v angličtině
Podobně jako na začátku prázdnin se na druhém místě umístil trojský kůň Formbook. V minulých měsících analytici zachytili velké kampaně tohoto kódu ve stejné dny jako výrazné útoky Spy.Agent.AES.
„V srpnu se časová osa u obou hrozeb překrývala 30. srpna. Formbook zvyšoval svou prezenci v Česku již od druhé poloviny měsíce, výraznou kampaň jsme zachytili 23. srpna. Útoky byly vedeny v angličtině a útočníci se vydávali za zástupce dopravní společnosti,“ říká Jirkal.
Mírný pokles detekcí zaznamenali analytici u password stealeru Fareit. V srpnu neměl žádnou výraznější e-mailovou distribuční kampaň. Nejčastěji se malware skrývá v příloze, kterou útočníci vydávají za zprávu od dopravce nebo platební příkaz z banky. Jakmile uživatel přílohu otevře, spustí se malware, jehož cílem je odcizení hesel uložených v prohlížečích a FTP klientech. Podobně jako v případě předchozích typů malware se Fareit šířil v cizojazyčných e-mailech, především v anglickém jazyce.
Jak se chránit před spywarem?
Uživatelská hesla jsou v České republice dlouhodobě nejběžnějšíkybernetické hrozby a terčem těchto útoků. Databáze s hesly jsou totiž pro útočníky komodita, kterou lze snadno a rychle zpeněžit. Odborníci doporučují zaměřit se především na prevenci podobných útoků. Malware se šíří zejména e-maily, experti proto apelují na obezřetnost při používání elektronické pošty. Podezřelé zprávy by uživatelé neměli vůbec otevírat, ale rovnou mazat či přesouvat do spamu. Zcela nezbytné je používání spolehlivého anti-malware programu.
„Důležitým krokem je neukládat si hesla do prohlížečů. Existují speciální programy určené ke správě hesel, zvané password managery. Ty ukládají hesla v šifrované podobě, takže je potenciální útočník nedokáže zneužít. Pořídit si je můžete i jakou součást prémiových anti-malware řešení,“ radí Jirkal. „Případně je možné využívat k tvorbě hesel nějakou mnemotechnickou pomůcku, aby nebylo nutné jakékoliv ukládání hesel. Je to ale také kompromis. Obvykle si takto uživatelé tvoří hesla slabší.“
Sílu hesla ostatně skloňují bezpečnostní experti často. Silné heslo by totiž mělo odolat také počítačovým pokusům o uhádnutí, tzv. slovníkovým útokům, během kterých útočník zkouší objemný seznam hesel ve snaze prolomit přístupy uživatele. Nejvhodnější je používat spíše delší kombinace různých znaků nebo několikaslovné fráze. Optimální je tvořit si unikátní přístupy pro každou službu, což ale dělá jen třetina Čechů.
Dalším krokem k vyššímu zabezpečení přihlašování je zapnutí dvoufaktorové autentizace, kdy uživatel každé přihlášení potvrzuje v aplikaci nebo kódem z SMS.
Nejčastější kybernetické hrozby v České republice za srpen 2021:
- MSIL/Spy.Agent.AES trojan (36,57 %)
- Win32/Formbook trojan (15,10 %)
- Win32/PSW.Fareit trojan (6,59 %)
- VBA/Agent.AAB trojan (1,70 %)
- WinGo/RanumBot trojan (1,47 %)
- MSIL/Spy.Agent.DFY trojan (0,97 %)
- Win64/Farfli trojan (0,89 %)
- Win32/Delf.NBX virus (0,86 %)
- Win32/Agent.TJS trojan (0,83 %)
- BAT/CoinMiner.ARV trojan (0,66 %)
Stav hrozeb pro macOS
Zařízení společnosti Apple s operačním systémem macOS se opakovaně potýkají s útoky prostřednictvím reklamního malwaru. Útočníci přicházejí se stále novými způsoby, jak k uživatelům proniknout a vylákat z nich citlivé údaje.
Uživatelé v Česku, kteří používají zařízení na platformě macOS, ohrožuje adware dlouhodobě. Ten svým chováním především znepříjemňuje práci na zařízení, může ale uživatele výrazně ohrozit odkazy na další podvodné a nebezpečné stránky, kde jim hrozí odcizení citlivých údajů.
„Adware je škodlivý software, který zahltí zařízení agresivní formou reklamy a uživateli ztíží práci na zařízení a při surfování na internetu. I když nepředstavuje přímé riziko, je potřeba mít se před tímto typem malware na pozoru,“ vysvětluje Jiří Kropáč, vedoucí viruslabu společnosti ESET v Brně. „Mimo sníženou použitelnost zařízení nelze zanedbat ani to, co reklama inzeruje. Uživatel se často setká s nabídkami nekvalitních produktů, v horších případech přímo s podvodným sdělením. Může být ale také přesměrován na stránku, která z něj vyláká citlivé údaje. A právě v těchto případech dochází již k vážnějším škodám.”
Adware si uživatel často nainstaluje sám
V srpnu detekovali analytici nejčastěji reklamní malware Pirrit. Ten obsahuje funkce pro zobrazení vyskakujících oken s reklamou a uživateli výrazně omezuje práci na infikovaném zařízení. Počet zachycených hrozeb přitom oproti předchozím měsícům výrazně stoupnul.
„Vliv na počet detekcí za sledované období má jak chování samotného uživatele, tak stále nové způsoby a strategie ze strany útočníků,“ uvádí Kropáč. „V srpnu došlo k většímu nárůstu u třech nejčastěji detekovaných typů. Na straně uživatelů tak pravděpodobně docházelo k větší aktivitě, kdy častěji klikali na reklamní sdělení, zatímco vydavatelé malware a adware dlouhodobě přicházejí s novými kampaněmi a způsoby, jak k uživatelům proniknout. Vždy se jedná o kombinaci několika faktorů,“ doplňuje Kropáč.
Adware Pirrit si přitom do zařízení stáhne uživatel sám jako součást jiného programu. Reklama je velmi často součástí volně dostupného software, uživatel tak musí být obezřetný a věnovat pozornost tomu, odkud aplikaci nebo software stahuje.
Působení adware v zařízení se pak projevuje například zvýrazněním některých slov při surfování, vkládáním odkazů do webového obsahu nebo vyskakujícími reklamními okny. Skrze adware se ale také může přímo nainstalovat škodlivý kód, aniž by uživatel navštěvoval jiné podvodné stránky. Takové chování je typické například pro škodlivé kódy detekované jako Genieo a Installcore, které se dostaly mezi pět nejčastěji detekovaných hrozeb za srpen 2021.
Počítač nejlépe ochrání sám uživatel
Velmi účinnou ochranou zařízení je stahovat aplikace z oficiálních zdrojů. Uživatel tak sníží riziko, že si s aplikací stáhne nechtěné doplňky či zahltí zařízení reklamou. Malware často napodobuje či se vydává za známé a bezproblémové služby nebo se stává součástí balíčku bezplatné aplikace.
„Naše doporučení uživateli je jednoduché. Nejlépe se hrozbám vyhne, pokud bude aplikace a doplňky pro svá zařízení stahovat z oficiálních míst, v tomto případě tedy z AppStore,” radí Kropáč. „Uživatel by naopak neměl využívat různá pochybná fóra a torrenty, i když lákají na jinak placené služby zdarma.”
Velmi častým útokem na data uživatele je phishing a právě adware výrazně zvyšuje pravděpodobnost, že uživatel zadá své citlivé údaje na podvodné stránce.
„Phishing se typicky projevuje jako podvodný e-mail, který uživatele naláká k přihlášení na podvodné stránce, která imituje jinak známou online službu. Dalším příkladem mohou být i obchody či falešné investiční stránky. Je tak v zájmu uživatele, aby si nastudoval obchodní nabídku v případě, kdy nakupuje u neznámého prodejce. Svá data uživatel účinně ochrání také bezpečnostním programem, který před webovými hrozbami a rizikovými aplikacemi varuje,” doplňuje Kropáč z ESETu.
Nejčastější kybernetické hrozby v České republice pro platformu macOS za srpen 2021:
- OSX/Adware.Pirrit application (41,32 %)
- OSX/Adware.Bundlore application (16,13 %)
- OSX/Adware.MaxOfferDeal application (14,52 %)
- OSX/Adware.Genieo (4,84 %)
- OSX/Adware.InstallCore (4,84 %)
Kybernetické hrozby pro Android
Mezi největší kybernetické hrozby pro uživatele zařízení s operačním systémem Android řadíme i v srpnu bankovní malware Cerberus. Počet detekcí tohoto škodlivého kódu v srpnu vzrostl. Malware infikuje zařízení prostřednictvím dropperů. Ty jsou často kopiemi legitimních programů či služeb, které jsou v obchodu Google Play placené či nedostupné pro platformu Android.
V srpnu zaznamenali analytici větší objem takzvaných dropperů, které se vydávají za známé nástroje a služby. Pokud je uživatel stáhne, infikují zařízení nebezpečnější hrozbou. Tento krok navíc používají útočníci proto, aby zmátli uživatele a případně skryli malware před méně kvalitními bezpečnostními programy.
Naopak došlo k poklesu detekcí škodlivého kódu typu stalkerware, který se v přehledu hrozeb pravidelně objevoval v předchozích měsících. Jedná se o typ „špehovacího“ malwaru, který sloužil k monitorovaní digitálních aktivit oběti. Za poklesem je podle expertů dlouhodobá snaha bezpečnostních společností a Google před těmito riziky varovat.
„Droppery fungují jako tzv. obálky. Jde o aplikace z neoficiálních zdrojů, jejichž jedinou funkcionalitou je infikovat telefon dalším škodlivým kódem. Jednotlivé droppery mají velké množství verzí a rychle se mění, to proto, aby se dokázaly co nejefektivněji skrýt před detekčními nástroji,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
Nejčastěji se droppery šířily z neoficiálních zdrojů, jako jsou různá fóra, a instalovaly malware Cerberus, jehož aktivitu v českém prostředí sledují analytici už od začátku tohoto roku. Trojský kůň Cerberus je rizikem zejména pro bankovní služby. Obsahuje například funkce pro odcizení přihlašovacích údajů z legitimních stránek bank anebo ke čtení SMS kódů, a tím obcházení dvoufázového ověření, včetně Google Authenticatoru. Rizikový je především při placení přes internetové bankovnictví, nikoli v bankovní aplikaci.
„Malware Cerberus je v současnosti velmi populární malware, jsou s ním spojené téměř tři čtvrtiny detekcí pro systém Android. Jeho zdrojový kód byl totiž zveřejněn na darkwebu, a to znamená, že ho může nyní kdokoli stahovat a upravovat,” říká Jirkal.
Malware se maskuje za známé nástroje a služby
Nejčastěji detekovanými hrozbami byly droppery Agent.GOF a Agent.GUL. Oba dva detekované typy škodlivého kódu jsou si velmi podobné. Uživatel na ně narazí při stahování kopií populárních aplikací z neoficiálních zdrojů.
„Dropper GOF se maskoval za několik známých nástrojů a služeb, jmenovitě například za Pinterest. Uživatel na něj mohl narazit také v aplikaci na sledování statistik fotbalových zápasů nebo čtení ekonomických médií,” popisuje Jirkal. „Pro verzi GUL je zase typické, že parazituje na aplikacích od výrobců populárních mobilních telefonů a inteligentních hodinek. Pro šíření tohoto malwaru mohou být případně využity i nelegální modifikace populárních her.”
Na třetím místě se umístil trojský kůň Andreed. Ve srovnání s předchozími detekcemi se jedná o méně rizikový malware, který se opět vyskytoval v aplikacích z neoficiálních zdrojů a zobrazuje nevyžádanou agresivní reklamu.
Před hrozbou Cerberus ochrání oficiální bankovní aplikace a bezpečností software
Pro detekované hrozby za měsíc srpen je společné, že si je uživatel může stáhnout do zařízení sám z neoficiálních aplikačních obchodů nebo webových stránek. Důvodem tohoto chování bývá fakt, že uživatel v oficiálním obchodě Google Play nenalezl hledanou aplikaci nebo za ni není ochoten zaplatit. Ochrana před hrozbami je tak z velké části v rukou samotného uživatele. Proto platí doporučení využívat pouze aplikace z oficiálního obchodu, kde bezpečnostní tým Google Play své aplikace proaktivně prověřuje.
„Na místě je také si do telefonu nainstalovat renomovaný bezpečnostní software, který potenciální riziko včas odhalí. Uživateli to nepřidělává žádné starosti a je to přitom nejspolehlivější prevence. Cerberus navíc ohrožuje jen internetové bankovnictví, nikoli aplikace bank. Osobně bych upřednostnil používání oficiálních bankovních aplikací a ověřování plateb přímo v nich pomocí otisků prstů,” dodává Jirkal z ESETu.
Z preventivní důvodů je také velmi důležité pravidelně aktualizovat operační systém i všechny aplikace v telefonu.
Nejčastější kybernetické hrozby v České republice pro platformu Android za srpen 2021:
- Android/TrojanDropper.Agent.GOF trojan (23,33 %)
- Android/TrojanDropper.Agent.GUL trojan (10,89 %)
- Android/Andreed trojan (6,10 %)
- Android/TrojanDropper.Agent.DIL trojan (4,59 %)
- Android/TrojanDropper.Agent.HSN trojan (3,92 %)
- Android/TrojanDropper.Agent.IEG trojan (3,34 %)
- Android/TrojanDropper.Agent.HQQ trojan (2,21 %)
- Android/TrojanDropper.Agent.IGY trojan (2,10 %)
- Android/TrojanDownloader.Agent.KE trojan (1,87 %)
- Android/TrojanDownloader.Agent.WI trojan (1,84 %)
Napsat komentář