V Česku sa minulý mesiac začal masívne šíriť nebezpečný downloader Agent.RWL, no potom sa po ňom zľahla zem. Bezpečnostní experti v Česku však v posledných týždňoch zaznamenali nečakaný nástup úplne iného malvéru, nazvaného Agent.BTQ. Momentálne ide o jednu z najrozšírenejších hrozieb vôbec, informuje novinky.cz.
Bezpečnostní experti upozorňujú, že „takýto nástup nikto nečakal“. Nové hrozby sa zvyčajne objavujú vo vírusových štatistikách na nižších miestach, keďže kybernetickí útočníci najprv testujú funkcie malvéru na menšom vzorku cieľov predtým, ako ho začnú masívne šíriť.
To im umožňuje otestovať všetky funkcie a doladiť prípadné chyby, aby záškodník pracoval presne podľa ich predstáv.
O Agentovi.BTQ sa v uplynulých mesiacoch nikto nedozvedel, no zrazu sa začal masívne šíriť naprieč pokojným prostredím českého internetu. Momentálne je po spyware Agent Tesla druhou najrozšírenejšou hrozbou s podielom 8,84 %. V praxi tak stojí za každým 11. útokom na zariadenia s operačným systémom Windows.
Nevyžiadané e-maily
„Škodlivý kód Agent.BTQ sa v našej štatistike objavil bez predchádzajúcich významnejších detekcií, rovnako ako v máji malware Agent.RWL. Ide o pokročilejší škodlivý kód, ktorý môže do počítača sťahovať ďalší malware,“ konštatoval Martin Jirkal, vedúci analytického tímu v pražskej výskumnej pobočke Esetu. Nový malware podľa neho naznačuje, že kybernetickí útočníci nasadzujú pokročilejšie zbrane. „To, že sa dva mesiace po sebe objavili v Česku iné kódy, než je dlhodobo detekovaný spyware, svedčí o tom, že útočníci pravdepodobne nakupujú pokročilejšie škodlivé kódy od iných útočníkov,“ dodal Jirkal.
Tento nezvaný návštevník sa v prostredí Windows šíri najčastejšie prostredníctvom škodlivých e-mailových príloh. „Útočníci ich vydávajú za rôzne faktúry alebo objednávky, a môžu tak zmiasť najmä zamestnancov firiem, ktorí denne pracujú s väčším objemom e-mailovej komunikácie,“ varoval bezpečnostný expert s tým, že prílohy nevyžiadaných e-mailov majú najčastejšie koncovku .exe.
Práve koncovka .exe by mala byť pre používateľov varovaním, označuje totiž spustiteľný súbor. Takúto prílohu by sme nemali vôbec otvárať – naopak je potrebné také e-maily neodkladne vymazať.
Agenta.RWL nepodceňovať
Vyššie spomínaný Agent.RWL masívne útočil v máji, keď sa z prakticky neznámeho škodlivého kódu vyšvihol na prvú priečku vírusových štatistík s podielom 31,66 %. Napriek tomu, že tento nezvaný návštevník sa v najnovších štatistikách nedostal ani do prvej desiatky, bezpečnostní experti stále nabádajú k obozretnosti – hackeri môžu totiž len preskupovať zbrane.
Agent.RWL patrí medzi tzv. downloadery. Ide o škodlivé kódy, ktoré na napadnutom systéme fungujú v podstate ako prenosné schránky na šírenie ďalších vírusov. „Malware Agent.RWL patrí k veľmi pokročilým škodlivým kódom. Po tom, čo infikuje počítač, doň sťahuje ďalšie škodlivé kódy z Google Drive,“ upozornil Jirkal.
Tým ale možnosti tohto záškodníka nekončia. „Malware obsahoval aj takzvaný killswitch, čo nám opäť potvrdilo, že nejde o bežnú kybernetickú hrozbu, s ktorou sa používatelia systému Windows pravidelne stretávajú. Ide o funkcionalitu, ktorá dokáže infekciu v systéme zastaviť. To využívajú napríklad autori škodlivých kódov, aby sami nenakazili svoje zariadenia,“ vysvetlil Jirkal.
Agent.RWL sa najčastejšie šíri prostredníctvom nevyžiadaných e-mailov. V máji išlo o správy, ktoré mali prílohu s názvami „objednávku_Sollau-000000035_24_826_MBZ_100524_N_200.hta“ alebo „1751155914_456409723_KHI_CZ_240506_0946_P.hta“.
Koncovka .HTA sa používa pre aplikácie, ktoré obsahujú vlastnosti HTML spolu s vlastnosťami iných skriptovacích jazykov. Používatelia by teda pred takýmito súbormi mali byť rovnako obozretní, ako keď má príloha koncovku .EXE.Začiatok formuláraSpodná časť formulára
