Nejvýraznější hrozbou roku 2020 byl spyware

Pravidelně vyhodnocujeme nejčastější kybernetické hrozby pro uživatele a upozorňujeme na ně média i veřejnost. Minulý rok scénu zcela ovládly password stealery. V průběhu roku jsme zachytili řadu kampaní, které cílily přímo na Česko.

Útočníci se chovají ekonomicky: mají zájem získat data, která lze zpeněžit.

Útočníci pracovali také s lokalizovanými spamy, kterými svůj malware šířili. V několika případech se konkrétní hrozby objevovaly na dark webu také jako malware-as-a-service (MaaS). Níže představíme ty nejvážnější z nich.

Podíl spyware na detekcích v jednotlivých měsících v roce 2020
Podíl spyware na detekcích v jednotlivých měsících | Zdroj: ESET

Spy.Agent.AES využíval lokalizované kampaně

Tento trojan stál během celého roku za čtvrtinou detekcí. Uživatele výrazně ohrožoval už v roce 2019, byť tehdy ještě jeho operátoři nevytvářeli kampaně cílené na Česko.

Na počátku roku (přesněji v únoru a březnu) detekce tohoto trojanu výrazně oslabily, v dubnu jsme detekovali první výraznou kampaň. S největší pravděpodobností se tvůrci Spy.Agent.AES na začátku roku soustředili na přípravu výrazné kampaně plánované na velikonoční svátky.

Je poměrně běžné, že se hackeři na několik týdnů až měsíců odmlčí a vylepšují své postupy a taktiku.

Dubnová spamová kampaň, kterou se Spy.Agent.AES šířil, byla lokalizovaná do češtiny. Češtinu používali útočníci většinu roku, od října ale detekujeme spam převážně v angličtině. Je tedy pravděpodobné, že šlo o e-maily z kampaní, které byly součástí útoku na jiné země.

Malware se skrýval v příloze s názvem „kopie platby09886673.exe“, „Informace_o_platbě.exe“ nebo například „urgentní objednávka.exe”.

Nejaktivnější byli tvůrci malware v květnu, kdy měl jen samotný Spy.Agent.AES 34% podíl na detekcích. Podobně velké kampaně cílené speciálně na Českou republiku jsme zachytili ještě v červnu, říjnu a prosinci.

Útočníci dokážou prostřednictvím tohoto škodlivého kódu získat hesla uložená v prohlížečích, dále hesla k e-mailovým a FTP klientům a k chatovacím službám. Zaměřuje se na více než 20 prohlížečů, včetně těch nejpopulárnějších, jako je Chrome, Firefox, Opera či Microsoft Edge.

V průběhu roku útočníci na vývoji trojanu dál pracovali: Jedna z verzí, kterou jsme zachytili v červnu, obsahovala keylogger, na podzim obsahovala komponentu pro odhalení přítomnosti anti-malware produktu a firewallu v napadeném zařízení.

Tvůrci Spy.Agent.AES se zaměřili specificky na Českou republiku, což je neobvyklé.
Spíše detekujeme anglickou verzi nějaké globální kampaně.

V průběhu roku začali útočníci Spy.Agent.AES nabízet také na černém trhu jako MaaS. Celý obchodní model popsal náš bezpečnostní expert Václav Zubr v samostatném článku.

Spy.Agent.CTW dokáže zneužít Discord

Podobným typem password stealeru je také Spy.Agent.CTW, který se na české scéně objevil v červnu ještě jako poměrně minoritní hrozba. V červenci ovšem jeho tvůrci ukázali, co umí a spustili rozsáhlou kampaň mířenou proti českým uživatelům. Podobnou kampaň jsme zachytili také v září. Od té doby zase mizí. Je možné, že si útočníci jen na našem homogenním trhu ověřovali nové části kódu, nebo prostě tyto kampaně nenaplnily očekávání a útočníci tak věnují energii jiným malware.

V červenci se šířil e-maily v anglickém jazyce, v září také v češtině. Stáhnout jej bylo možné například z přílohy „Material requirements.exe“ nebo „platební_faktura.exe“.

Spy.Agent.CTW má několik funkcí, cílem všech je ale odcizit přístupové údaje ke konkrétním službám. Jde zejména o hesla uložená v e-mailových aplikacích Office Outlook, Foxmail a Thunderbird, ve webových prohlížečích a některých chatovacích aplikacích, jako je Telegram či QQ Browser.

V průběhu roku jsme zachytili také verze, které se dokáží nabourat do komunikačních aplikací, zejména do aplikace Discord. Funkce se objevila v době, kdy se Discord snažil nabídnout služby firmám pro komunikaci při práci na dálku. Pokud by útočník přístup skutečně získal, mohl by útočník odesílat vzkazy jménem napadeného účtu.

Formbook měl na podzim cílené kampaně na Česko

Uživatele výrazně ohrožoval také backdoor Formbook. Jde specificky o MaaS, který funguje jako podnikatelský projekt kyberzločinců. I díky tomu jej detekujeme ve velmi různorodých regionech – například v květnu byla takto hrozba nejaktivnější v Japonsku, na Tchaj-wanu a v České republice.

Pro útočníky má nákup malware jako služby několik výhod: je to levnější a také je složitější je vystopovat.

Tento backdoor jsme detekovali v květnu a červenci, od té doby ale slábne (s výjimkou menší kampaně v říjnu). Šířil se v přílohách podvodných e-mailů, k infikaci stačilo povolení maker v infikovaném souboru. V červnu jsme zaznamenali rozšíření Formbooku do dalších evropských zemí. Je možné, že jeho vývojáři více propagovali úspěchy malware a získali si nájemce malware z dalších regionů.

Ve většině měsíců byl spam v angličtině, v říjnu se ale Formbook v 65 % případů šířil v přílohách s názvem „nákupní objednávka.exe“. Tato kampaň byla lokalizovaná a cílená specificky na Česko. Českou lokalizovanou verzi pak útočníci využívali i v listopadu (příloha a sdělení imitovaly objednávku z e-shopu).

Formbook disponuje funkcemi pro získávání přihlašovacích údajů a keyloggerem.

Nejčastější kybernetické hrozby v České republice za rok 2020 

  1. MSIL/Spy.Agent.AES trojan (26,91 %) 

  2. MSIL/Spy.Agent.CTW trojan (4,25 %) 

  3. Win32/Formbook trojan (3,27 %) 

  4. Win32/PSW.Fareit trojan (3,00 %) 

  5. Java/Adwind trojan (1,80 %) 

  6. MSIL/NanoCore trojan (1,27 %) 

  7. Win32/Rescoms trojan (1,18 %) 

  8. Win32/HackTool.Equation trojan (0,96 %) 

  9. DOC/Agent.FO trojan (0,89 %) 

  10. MSIL/Bladabindi trojan (0,84 %)