Nebezpečný trojský kůň se šíří Českem jako lavina

Až na první místo žebříčku se CloudEye vyšvihl prakticky z nuly. Ještě před pár týdny totiž o této hrozbě prakticky nikdo neslyšel, nedostala se ani do první desítky nejrozšířenějších virů.

Aktuálně přitom stojí za čtvrtinou všech zachycených útoků na Windows v Česku. Právě to krásně ilustruje, s jakou velkou silou kyberšmejdi na tuzemské uživatele před Vánocemi udeřili.

Podle bezpečnostních expertů se objevoval tento nezvaný návštěvník v Česku i v minulosti, počet útoků byl ale tak nízký, že mu prakticky nikdo nevěnoval pozornost.

„Škodlivý kód, který označujeme jako CloudEye, není v Česku novinkou. V takové míře jsme jej ale v našem prostředí neviděli,“ prohlásil Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce antivirové společnosti Eset.

Navíc v minulosti se tento záškodník objevoval spíše v zahraničí. „Přítomnost tohoto škodlivého kódu v Česku není dobrou zprávou,“ neskrýval své starosti z nové hrozby Jirkal.

„Opět nám to ukazuje, že útočníci chtějí aktuální období před koncem roku maximálně vytěžit ve svůj prospěch,“ konstatoval bezpečnostní expert. Narážel na to, že společně s vánočními svátky útočná sezóna vrcholí - kyberšmejdi využívají toho, že jsou lidé v předvánočním shonu daleko méně obezřetní a nechají se nachytat i na triky, na které by v jiných částech roku neskočili.

CloudEye je velmi sofistikovaný škodlivý kód. „Je přizpůsobený k tomu, aby nešel tak snadno analyzovat. Jeho primární funkcí je stahovat do zařízení další škodlivé kódy. V Česku to vždy byly hlavně infostealery Agent Tesla a Formbook, které se v listopadu také objevily na předních místech naší statistiky,“ doplnil Jirkal.

CloudEye tedy vlastně otevírá zadní vrátka do operačního systému Windows, prostřednictvím kterých pak útočníci mohou šířit další škodlivé kódy.

Tento nezvaný návštěvník se šíří nejčastěji prostřednictvím nevyžádaných e-mailů. Uživatelé jej pustí do svého stroje sami, pokud otevřou přílohu. „Zachycené útoky byly přizpůsobeny českým uživatelům a uživatelkám,“ zdůraznil bezpečnostní expert.

Falešné e-maily se vydávaly za recenze, shrnutí objednávky i smlouvy. Nejčastěji jsme mohli podle něj na tento malware narazit při spuštění e-mailové přílohy „PO_54333677011_678978687_Žádná recenze.vbs“. Samotný e-mail pak útočníci vydávali za shrnutí objednávky. Dále se objevovaly také přílohy „Zmluva-pdf.js“ či „NV11036587-, Predpis_pojistne_smlouvy_c_3268222706.bat“.

Jak je z řádků výše patrné, klíčové je důkladně sledovat, jaké přílohy otevíráme. V případě nevyžádaných e-mailů bychom je neměli otevírat nikdy a raději je rovnou mazat.

Zmiňované škodlivé kódy Agent Tesla a Formbook se v minulosti také hojně šířily v Česku prostřednictvím nevyžádaných e-mailů. Jak je z řádků výše patrné, útočníci nyní změnili taktiku a propašovávají do cizích strojů tyto viry prostřednictvím trojského koně CloudEye.

Agent Tesla patří mezi tzv. spyware. Jde o škodlivé kódy, které si v počítači hrají na špiony – snaží se zůstat co nejdéle v utajení, aby mohly nepozorovaně krást uživatelská data.

„Největším rizikem je spyware pro hesla, která ukládáme do internetových prohlížečů. Webové prohlížeče totiž nejsou před útoky spywaru dostatečně zabezpečené. Útočníci poté profitují z monetizace takto získaných dat, prodeje samotných přihlašovacích údajů či z výkupného za opětovné zpřístupnění služeb,“ varoval Jirkal.

Prakticky úplně stejnou neplechu jako Agent Tesla udělá v počítači také FormBook. Ani tuto hrozbu tedy není radno podceňovat.