V susednom Česku sa v krátkom čase medzi najrozšírenejšie digitálne hrozby pre Windows dostal škodlivý kód CloudEye. Bezpečnostné tímy ho dnes zachytávajú mimoriadne často, pričom podľa odborníkov tvorí približne štvrtinu všetkých detekovaných malvérov v krajine. Nejde pritom o klasický vírus, ale o nenápadný nástroj, ktorý útočníkom otvára dvere k citlivým údajom používateľov.
CloudEye cieli predovšetkým na nedostatočne chránené počítače a jeho rozsiahle nasadenie sa dotýka nielen českých domácností a firiem. Keďže kampane útočníkov nebývajú územne obmedzené, ohrození sú aj používatelia na Slovensku. Riziko rastie najmä tam, kde chýbajú aktualizácie systému, prípadne kde ochranu zabezpečuje zastaraný alebo úplne absentujúci antivírusový program.
Nenápadný sprostredkovateľ útokov
Z technického hľadiska patrí CloudEye medzi takzvané downloadery. Sám o sebe spravidla neničí súbory ani nespôsobuje okamžité výpadky systému, pričom jeho úloha spočíva v niečom inom. Po spustení sa spojí so servermi útočníkov a potichu sťahuje ďalší nebezpečný softvér. Ide najmä o známe infostealery ako Agent Tesla alebo Formbook, ktoré sa špecializujú na krádeže prihlasovacích údajov.
Autori malvéru ho navrhli tak, aby jeho analýza a zachytenie boli čo najzložitejšie. Používajú techniky šifrovania a špeciálne balenie kódu, často prostredníctvom inštalačného nástroja NSIS. Bezpečnostné riešenia tak môžu mať problém rozpoznať, že ide o škodlivý program, čo útočníkom poskytuje cenný čas na ďalšie aktivity v infikovanom systéme.
Prečo sa mu v Česku darí
Odborníci upozorňujú, že prudký nárast výskytu CloudEye nesúvisí s tým, že by išlo o úplnú novinku. Kód je známy už dlhšie, no útočníci ho opäť nasadili vo veľkom rozsahu. V Česku dnes predstavuje približne 25 percent všetkých zachytených hrozieb pre Windows. Hlavným dôvodom sú zle zabezpečené zariadenia, ktoré nemajú aktuálne záplaty ani spoľahlivú ochranu.
Šírenie a následky infekcie
Najčastejšou cestou do počítačov sú podvodné e-maily s prílohami alebo odkazmi, ktoré sa vydávajú za faktúry, doručenky či bezpečnostné oznámenia. Po ich otvorení sa škodlivý kód automaticky stiahne a pripraví priestor pre ďalšie útoky. Tie môžu zahŕňať keyloggery alebo nástroje vzdialeného prístupu, vďaka ktorým útočníci kradnú heslá, sledujú aktivitu alebo čisto ovládnu zariadenie. Získané údaje následne predávajú alebo zneužívajú pri ďalších podvodoch.
Ako znížiť riziko
Základom ochrany zostáva obozretnosť pri práci s e-mailmi a pravidelná údržba systému. Používatelia by nemali otvárať prílohy od neznámych odosielateľov a mali by si všímať nezrovnalosti v správach, ktoré sa tvária oficiálne. Rovnako dôležité sú priebežné aktualizácie Windows a používaných programov. Kvalitný bezpečnostný balík s kontrolou e-mailovej komunikácie dokáže zachytiť hrozby skôr, než sa v počítači stihnú naplno prejaviť.
