ESET: Česko v dubnu zasypaly desítky tisíc škodlivých e-mailů

V dubnu opět vzrostly detekce infostealeru Formbook, který tak stále stojí v čele pravidelné statistiky kybernetických hrozeb pro operační systém Windows v Česku.

Útočníci jej tentokrát šířili v neobvykle silné kampani zaměřené na Českou republiku a Slovensko. Útoky načasovali na Velikonoce. Bezpečnostní experti zachytili nejvíce případů škodlivého kódu na Zelený čtvrtek a v úterý po Velikonočním pondělí, kdy se lidé vraceli do práce a otevírali své e-maily.

K šíření infostealeru využili škodlivý program ModiLoader, který poté, co infikuje počítač, stahuje další malware a spouští ho podle pokynů útočníků. Vyplývá to z pravidelné statistiky detekčních dat společnosti ESET.

Počet případů infostealeru Formbook vzrostl v dubnu na více než třetinu všech zachycených detekcí. Velké kampaně připravili útočníci v první polovině měsíce, kdy šířili škodlivý kód globálně prostřednictvím e‑mailů v angličtině. Během velikonočních svátků pak na Česko zacílila silná kampaň, ve které útočníci využili škodlivý program ModiLoader. Ten jim slouží k dalšímu šíření malwaru určenému ke krádežím informací či k získání vzdáleného přístupu k počítači – škodlivých kódů Rescoms a Agent.AES nebo již zmíněného infostealeru Formbook.

„Škodlivý program ModiLoader je známou a stálou hrozbou nejen v České republice, většinou jej ale neevidujeme v tak masivní kampani, jaké jsme byli svědky letos v dubnu. Útočníci si pro české uživatele a uživatelky tentokrát připravili promyšlenou strategii,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

„Útok začal na Zelený čtvrtek. O tom, jak byla tato kampaň silná, svědčí i množství škodlivých e-mailů, které jsme monitorovali – jejich počet se vyšplhal na desítky tisíc. Na Slovensko mířilo v tento den podle našich dat 41 % všech celosvětových útoků tohoto programu, na Českou republiku to bylo 30 %. Velký skok v detekčních datech jsme pozorovali i v úterý po Velikonocích. Pravděpodobným vysvětlením je to, že lidé, kteří se vraceli ze svátků zpět do práce k počítačům, otevírali mezi pracovními e-maily bohužel i ty škodlivé,“ vysvětluje Jirkal.

E-mailové zprávy, které obsahovaly škodlivý program ModiLoader, informovaly příjemce o tom, že obdržel dokument se shrnutím objednávky, spolu s požadavkem na její potvrzení. Text zprávy byl napsaný v češtině bez gramatických a stylistických chyb, což opět potvrzuje, že byl útok cílený a pečlivě připravený. V příloze těchto e-mailů byl ModiLoader „schovaný“ v dokumentu s názvem „Objednavka.iso“. Pokud oběť soubor otevřela, zobrazil se soubor „Obejdnavka.cmd“, který po spuštění nakazil dané zařízení.

„Zachycený dubnový útok je názornou ukázkou toho, jak dnes útočníci podobné kampaně připravují. Svátky a období volna jsou pro ně dobrou příležitostí. Mohou zneužít toho, že máme naši pozornost nasměrovanou jinam – k našim dovoleným a volnočasovým aktivitám. Zasílání škodlivých kódů v e-mailech se jim bohužel stále velmi vyplácí a potvrzují to i naše dubnová čísla,“ říká Jirkal a dodává: „V případě takto připravených útoků neexistuje obrana, která by byla úplně snadná a jednoduchá, přesto se ale uživatelé mohou bránit velice efektivně. Vždy v případě nevyžádané e-mailové komunikace doporučujeme skepsi a obezřetnost spolu s využíváním profesionálního bezpečnostního softwaru, který dokáže spolehlivě reagovat na širokou škálu různých útoků, a to i v případě, kdy se jedná o zcela nové typy kybernetických hrozeb.“

ModiLoader – prodloužená ruka útočníků, která řídí další hrozby

Škodlivý program ModiLoader se obvykle šíří prostřednictvím phishingových kampaní. Ty mají v případě operačního systému Windows v Česku podobu zpráv o objednávkách s nebezpečnými přílohami, které útočníci vydávají za různé související dokumenty – faktury nebo shrnutí objednávek. ModiLoader po spuštění stáhne další škodlivé kódy (například infostealer Formbook) ze serveru útočníků, nebo jsou již distribuovány spolu s ním jako jeho součást. Následně škodlivý obsah dešifruje a poté spustí přímo z paměti napadeného počítače.