V Českej republike sa počas októbra prudko zvýšil počet útokov na používateľov systému Windows, pričom v popredí je infostealer Formbook. Útočníci cielia najmä na firemné počítače a snažia sa získať prihlasovacie údaje, finančné informácie a citlivé dokumenty. Kybernetickí analytici z ESETu zároveň upozorňujú, že ide o cielenejšie kampane, ktoré počítajú so zhonem pred koncom roka.
Bezpečnostné štatistiky ukazujú, že najviac pokusov o infiltráciu evidovali odborníci v pondelok. Útočníci podľa nich často rozosielajú škodlivé e‑maily cez víkend, aby na ne ľudia reagovali až po príchode do práce. Vtedy majú plné schránky a menší priestor na kontrolu detailov, čo výrazne zvyšuje šancu, že nebezpečnú prílohu bez premýšľania otvoria.
Formbook vedie rebríčky
Formbook podľa októbrových dát predstavoval takmer tretinu všetkých zachytených škodlivých kódov pre Windows v Česku. Bezpečnostní analytici vysvetľujú, že ide o infostealer, ktorý po úspešnom spustení dokáže odchytávať stlačené klávesy, kradnúť uložené heslá z prehliadačov a získavať údaje z vybraných aplikácií. Útočníci ho v aktuálnej vlne často skrývali v súbore s názvom „msedge_elf.dll“, aby vyvolali dojem, že ide o súčasť prehliadača Edge.
E‑maily sú zväčša predstierané ako dopyty po firemných produktoch alebo žiadosti o cenovú ponuku, pričom majú pôsobiť ako bežná obchodná korešpondencia. Text býva často v češtine, no objavujú sa pravopisné chyby a neobvyklý štýl oslovenia. Odborníci pripomínajú, že tieto signály môžu používateľom pomôcť spozornieť, nemali by sa na ne však spoliehať ako na jediný filter.
Jazyk, prílohy a falošný softvér
Formbook nie je jediná hrozba, ktorá v októbri dominovala. Vysokú aktivitu zaznamenali aj trojan Rescoms a infostealer Agent Tesla. Útočníci pri Rescoms malvéri využívali napríklad prílohy s názvami „SDC34108.75.bat“ a „OBJEDNAVKA_34002174.bat“, čo má pôsobiť ako bežné dokumenty súvisiace s objednávkami. V predmetoch správ sa objavovali texty typu „OBJEDNÁVKA K FAKTUŘE“, ktoré sú schopné prejsť prvotnou kontrolou menej skúsených používateľov.
Rescoms je nástroj na vzdialenú správu zariadenia, ktorý útočníci v kampaniach vydávajú za legitímny systémový softvér. Po úspešnom spustení môže útočník rovnako pohodlne ovládať napadnutý počítač, ako keby pri ňom sedel. Infostealer Agent Tesla má zasa za úlohu kradnúť heslá a ďalšie uložené údaje, pričom podľa ESETu ide často o recyklovanie starších kampaní. Objavoval sa v prílohách ako „RFQ – U1058 New Materials Order B13D60.scr“, ale aj v českých variantoch „Poptavka 00413_pdf.exe“ a „Zpusob_platby,jpg.exe“.
Koniec roka a zvýšený tlak
Odborníci upozorňujú, že záver roka predstavuje ideálne obdobie pre kybernetické útoky. Firmy riešia uzávierky, faktúry aj skladové inventúry, pričom e‑mailová komunikácia výrazne narastá. Práve vtedy sú zamestnanci náchylnejší robiť unáhlené rozhodnutia. ESET odporúča, aby si používatelia všímajú odosielateľa, či správa nadväzuje na predchádzajúcu komunikáciu, a či sa adresa skutočne zhoduje s oficiálnou doménou firmy alebo inštitúcie.
Podľa odborníkov dokáže kvalitný bezpečnostný softvér zachytiť podozrivé prílohy ešte pred ich otvorením a presunúť ich do bezpečnej oblasti, kde nepredstavujú hrozbu. Používateľ si v takom prípade vie e‑mail v pokoji skontrolovať a následne ho zmazať. ESET zároveň pripomína, že aj v hektickom období sa oplatí spomaliť, venovať každej podozrivej správe pár sekúnd navyše a nespoliehať sa len na to, že „veď tentoraz to bude určite v poriadku“.
Rebríček najčastejších škodlivých kódov pre Windows v Česku v októbri viedol Win32/Formbook trojan s podielom 27,77 percenta. Nasledoval Win32/Rescoms trojan so 15,32 percenta a tretiu priečku obsadil MSIL/Spy.AgentTesla trojan so 4,59 percenta. V prvej desiatke sa ďalej objavili PowerShell/Agent.DIC, MSIL/XWorm, MSIL/Spy.SnakeStealer, VBS/Agent.QMG, MSIL/Spy.Agent.AES, Win32/Spy.VB.OLN a Win32/PSW.Fareit.
Bezpečnostní experti očakávajú, že podobné kampane budú pokračovať aj v nasledujúcich mesiacoch, pričom útočníci môžu stále viac využívať generatívnu umelú inteligenciu na prípravu jazykovo presvedčivejších podvodných správ. Otvorenou otázkou zostáva, ako rýchlo sa dokážu firmy aj bežní používatelia prispôsobiť a či si vytvoria návyky, ktoré im umožnia rozoznať aj sofistikovanejšie hrozby skôr, než prídu o údaje alebo peniaze.
