Zlodějský malware Formbook, který uživatelům krade přihlašovací údaje, se stal nejčastější hrozbou pro počítačové sítě. FormBook se prodává na hackerských fórech a aktuálně stal se nejčastější hrozbou pro světové i české počítačové sítě. FormBook byl poprvé odhalen v roce 2016 a vyjma krádeží přihlašovacích údajů z webových prohlížečů pořizuje snímky obrazovky, sleduje stisknuté klávesy a může stahovat a spouštět soubory na základě příkazů z řídícího a velícího serveru.
Celosvětový index dopadu hrozeb, podle kterého byl v srpnu nejrozšířenějším malwarem FormBook, zveřejnil výzkumný tým společnosti Check Point® Software Technologies Ltd.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží na bezpečnější 80. pozici, Slovensko v srpnu také nezaznamenalo výraznější posun a patřila mu 63. příčka.
Na první místo se posunula Etiopie, která se v posledních měsících drží dlouhodobě mezi nejnebezpečnějšími zeměmi. Mezi méně bezpečné země se posunula Nigérie, které v červenci patřila 83. pozice a v srpnu 23., a Bahrajn, který z 81. příčky vyskočil až na 32. místo.
Bankovní trojan Qbot patřil řadu měsíců mezi nejrozšířenější škodlivé kódy, ale jeho provozovatelé přes léto nebyli aktivní, takže vypadl z Top 10. Naopak trojan pro vzdálený přístup Remcos se vyhoupl až na 6. příčku a letos se do Top 10 dostal vůbec poprvé.
FormBook byl poprvé odhalen v roce 2016 a jedná se o zlodějský malware, který krade přihlašovací údaje z webových prohlížečů, pořizuje snímky obrazovky, sleduje stisknuté klávesy a může stahovat a spouštět soubory na základě příkazů z řídícího a velícího (C&C) serveru. FormBook byl nyní distribuován také prostřednictvím kampaní s koronavirovou tématikou a pomocí phishingových e-mailů. Check Point v červenci informoval, že nový kmen nazvaný XLoader cílí na uživatele systému MacOS.
„FormBook využívá řadu triků a technik, jak se vyhnout odhalení,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Obvykle se šíří prostřednictvím phishingových e-mailů a příloh, takže nejlepší způsob, jak zabránit infekci, je pečlivě sledovat všechny e-maily, které vypadají podezřele nebo pocházejí od neznámých odesílatelů.“
Top 3 – malware
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v srpnu FormBook, který měl dopad na 4,5 % organizací po celém světě. Na druhou příčku klesl Trickbot s dopadem na 4 % společností, AgentTesla na třetím místě ovlivnil 3 % podniků.
- ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
- ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
Top 3 – mobilní malware
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android botnet FluBot.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
- ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
Top 3 – zranitelnosti
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 45 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 43 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass“ s dopaden na 40 % organizací.
- ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware Snake Keylogger po raketovém vzestupu v červenci v srpnu vypadl z Top 10. Na první příčku se tak posunul FormBook, další škodlivý kód zaměřený na krádeže dat a přihlašovacích údajů. Na české organizace také útočí poměrně výrazně spyware Joker, který v minulosti opakovaně pronikl na Google Play.
Top malwarové rodiny v České republice – srpen 2021
| Malwarová rodina | Popis |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
| Joker | Android spyware, který krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc nepozorovaně přihlásí oběť k prémiovým službám na reklamních webových stránkách. |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
| Trickbot | Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. |
| AsyncRat | Asyncrat je trojan zaměřený na platformu Windows, který odesílá systémové informace na vzdálený server. Ze serveru přijímá příkazy ke stahování a spouštění plug-inů, ukončování procesů, k vlastnímu odinstalování/aktualizaci a vytváření screenshotů. |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. |
| Nanocore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. |
| Kryptik | Kryptik je trojan zaměřený na platformu Windows. Krade systémové informace a odesílá je na vzdálený server. V infikovaném systému může stahovat a spouštět další škodlivé soubory. |
| Neshta | Neshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů. |
| Glupteba | Glupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet. |
| Cutwail | Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. |
| Scrinject | Scrinject je trojan, který útočníkům umožňuje vzdálený přístup k infikovanému systému. |
| sLoad | sLoad je PowerShell downloader, který nejčastěji šíří malware Ramnit a také sbírá informace o infikovaném systému. sLoad může také pořizovat snímky obrazovky a kontrolovat mezipaměť DNS pro konkrétní domény (např. cílové banky) nebo načítat externí binární soubory. |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Tomáš Rovný
