Jaký malware ohrožoval české uživatele v roce 2019?

Ze všech statistik detekcí vybíráme každý měsíc top desítku, očištěnou o potenciálně nechtěné aplikace, čili se jedná jen o tzv. tvrdý malware, tedy škodlivý kód vyvinutý s jediným cílem - poškodit uživatele.

Útočníci se ve své činnosti chovají ekonomicky, mají zájem získat data, která lze zpeněžit.

Detekcím proto vévodí trojany, které kradou citlivé informace. Takové informace lze snadno zpeněžit. Podívejme se podrobněji na tři nejčastější hrozby loňského roku.

Fareit se dokázal po odcizení hesel sám smazat

Trojan.Win32/PSW.Fareit (zkráceně Fareit) se držel na první příčce až do září, poté klesl na druhé místo. Nejaktivnější byl v srpnu a září, kdy dosahoval víc než 10% podílu na detekcích, ke konci roku ale klesl na polovinu.

Trojský kůň Fareit se snažil získat hesla uložená v prohlížeči. Data následně odesílal útočníkům na vzdálený server a z infikovaného zařízení se sám automaticky vymazal. Nechráněný uživatel si nemusel ani všimnout, že mu malware útočil na heslo.

V průběhu podzimu jsme zaznamenali snahu útočníků na kódu pracovat. Patrně si vyzkoušeli obchodní model a začali rozvíjet další metody, jak svůj malware skrývat před bezpečnostními produkty.

Na přelomu září se pokusili napadnout počítače prostřednictvím samorozbalovacího souboru .rar a speciálně upraveným skriptem v jazyce VBS. V průběhu měsíce jsme detekovali mezistupeň ve skriptovacím jazyce Autolt. V září také dosáhl Fareit největšího podílu na detekcích (téměř 14 %). V praxi to znamená, že útočníci malware vyvíjeli a pokoušeli se jej, co nejvíce rozšiřovat například několik na sobě nezávislými spamovými kampaněmi. Ostatně spam je nejběžnějším vektorem šíření Fareitu. Další změnu v samorozbalovacích .rar souborech jsme zaregistrovali v listopadu.

Spy.Agent. AES kradl hesla z Chromu a Firefoxu

Velmi podobný je i trojský kůň Spy.Agent.AES. V průběhu říjnu se stal nejčastější detekcí. Velkou kampaň tohoto malware jsme zaznamenali v září (kdy dosáhl na 12 %). Až do konce roku sice trochu oslabil, nicméně stále stál za desetinou detekcí.

Spy.Agent.AES sloužil stejně jako Fareit k odcizení hesel z prohlížečů Chrome a Firefox. Podobná byla i metoda infikace. Šíří se prostřednictvím příloh podvodných e-mailů, ty měly působit legitimně. Nesou tak názvy například „Statement of account files“, „New Order 4502165216.exe“ či „Delivery Note“.

V listopadu útočníci, kteří stojí za Spy.Agentem, patrně zakoupili kód k jinému postupu infikace a malware ukrývali v samorozbalovacích .rar souborech. Ještě více se tak přiblížili k pracovním postupům operátorů trojanu Fareit.

Adwind napadá Windows, Linux i macOS

V říjnu se do České republiky vrátil backdooru Adwind. Až do konce roku pak zaujímal třetí místo v našem přehledu hrozeb. Podíl na detekcích si drží okolo 3 %. V minulosti byl nejaktivnější v roce 2016.

Adwind vyvíjejí útočníci na Blízkém východě a je specifickým především multiplatformitou, to v praxi znamená, že útoční na různé operační systémy. Zajímavý je i jazykem, jedná se o nejsofistikovanější malware v jazyce Java. V celosvětovém měřítku využití tohoto jazyka při tvorbě škodlivého kódu klesá, Adwind je jednou z mála výjimek.

Podobně jako další hrozby za našeho přehledu se šířil prostřednictvím spamu. Jakmile byl backdoor aktivní, mohl odcizit informace o uživateli nebo jej útočníci mohli zneužít k distribuci dalšího škodlivého kódu.

Přelom léta a podzimu patřil crytojackingu

V srpnu a září se do první trojice dostal také cryptomalware CoinMiner.RX, který těžil kryptoměny bez vědomí uživatele. Jeho podíl na detekcích se pohyboval okolo 5 %. Coinminer se šířil především přes spam. Zároveň jej útočníci přidávali k instaleru populárních programů jako Adobe Flash Player a Google Chrome z neoficiálních stránek.

Důvodem byl růst ceny Bitcoinu, ta se se v průběhu června vyšplhala na své maximum (téměř 300 000 Kč za Bitcoin) a až do října si držela vysokou hodnotu. Útočníci na změnu kurzu reagovali právě sezónním malwarem. Jakmile ceny klesla, zaměřili se opět na jiné varianty malware.

Jak se chránit?

Většina nejvážnější hrozbě se v minulém roce šířila e-maily. Uživatelé se proti ní tak mohou poměrně snadno chránit. Stačí, aby si každý byl rizik vědom a přizpůsobil své chování. Základem ochrany je dobře zvážit legitimitu e-mailu, než si z něho uživatel stáhne potenciálně rizikovou přílohu. K zabezpečení zařízení pomůže také bezpečnostní software.

Nejčastější kybernetické hrozby v České republice v roce 2019:

  1. Trojan.Win32/PSW.Fareit (7,67 %)
  2. Trojan.MSIL/Spy.Agent.AES (5,14 %)
  3. Backdoor.Java/Adwind (3,29 %)
  4. Backdoor.MSIL/NanoCore (2,24 %)
  5. Trojan.Win32/Formbook (2,11 %)
  6. Trojan.Win32/Spy.Socelars (1,86 %)
  7. Trojan.MSIL/Bladabindi (1,50 %)
  8. Backdoor.Win32/Rescoms (1,48 %)
  9. Trojan.Win64/CoinMiner.RX (1,33 %)
  10. Trojan.MSIL/Spy.Agent.AUS (1,27 %)