Nejvážnější červnovou hrozbou byl v České republice trojský kůň Spy.Agent.AES. Tento malware má za úkol získávat hesla. Zaměřuje se na více než 20 prohlížečů, včetně těch nejpopulárnějších jako je Chrome, Firefox, Opera či Microsoft Edge. Nejnovější verze, kterou analytici zachytili, kromě toho obsahuje keylogger, dokáže tedy zaznamenávat, co uživatel píše na klávesnici. V květnu dosáhl Spy.Agent.AES rekordního poměru na detekcích (34 %), v červnu ovšem mírně slábl.

„Potvrdila se tak naše předpověď, že bude tato rekordní kampaně oslabovat ve prospěch dalšího malware. Je to způsobeno tím, že během pandemické krize řada útočníků své aktivity omezila a nyní se vracejí na scénu,“ popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET. „Podle nejnovějších dat se domníváme, že květnový výkyv byl způsobem také tím, že se tvůrci Spy.Agent.AES zaměřili specificky na Českou republiku. To není obvyklé. Většina škodlivých kampaní míří jinam, spíše detekujeme anglickou verzi nějaké globální kampaně.“

Česko jako region pro testování nového malware

Spy.Agent.AES se šířil e-maily v češtině, v červnu analytici zachytili přílohy s názvy „kopie platby09886673.exe” a „urgentní objednávka.exe”. Podle expertů to ale neznamená, že útočníci nutně byli Češi. „Útočníci se z pochopitelných důvodů snaží skrývat jak svou identitu, tak skutečnou lokalitu. Máme zkušenosti s tím, že útočníci využívají Česko k otestování nových typů škodlivých kampaní před tím, než je spustí globálně.  V tuto chvíli vidíme rozšíření Spy.Agent.AES do dalších států,“ říká Jirkal.

Tomu, že v Česku se kampaně testují, nasvědčujeme i vývoj druhé nejčastější hrozby – backdooru FormBook. Jedná se typ malware, který lze na černém trhu pronajmout jako službu. Zneužít jej tak mohou i méně technicky zdatní útočníci. FormBook v květnu dosáhl také výrazného podílu na detekcích, v červnu ovšem klesl o polovinu.

„Procentuálně vzato je útoků méně. Vidíme také výrazné rozšíření FormBooku do dalších evropských zemí, v květnu byl výraznější pouze v České republice, v Japonsku a na Tchaj-wanu. Je možné, že vývojáři FormBooku více propagují úspěchy svého malware a zvyšují tak poptávku ostatních,“  vysvětluje Jirkal.

FormBook podobně jako Spy.Agent.AES útočí na hesla uložená v prohlížečích. Taktéž se šířil především v přílohách podvodných e-mailů.

Vracejí se starší typy malware

Podle expertů z ESET řada útočníků během pandemie COVID-19 přestala s aktivními útoky a spíše se zaměřila na vývoj kódů. Nyní se ale vrací vše do starých kolejí a s tím také typy malware, které byly v minulých měsících velmi slabě zastoupeny. Příkladem takového malware je trojský kůň Fareit. Ten se ještě na začátku roku pohyboval okolo 5% procentního podílu na detekcích. V dubnu ale klesl na 2 %, v červnu začal výrazně posilovat. Fareit se zaměřuje taktéž na získání hesel z prohlížečů. I tento trojský kůň se šíří prostřednictvím infikovaných příloh ve spamu. „Z dat vidíme, že se nyní typy útoků, které byly v lednu úspěšné, vracejí na scénu. Nečekal bych, že bude jejich množství výrazně odlišné, bude nejspíše směřovat ke svým původním hodnotám z počátku roku,“ doplňuje Jirkal.

Hesla je nutné více chránit

Nejčastějším cílem jsou již několik měsíců v kuse uživatelská hesla. Experti proto doporučují dbát na základní pravidla jejich ochrany. To ale mnoho lidí nedodržuje, podle nedávného průzkumu firem ESET a Seznam dokonce třetina lidí používá v některých heslech jen jednoduchou větu či slovo. Speciální znaky pak využívá necelá polovina českých uživatelů.
„V kontextu aktuálních hrozeb bych doporučil používat speciální program na správu hesel, namísto ukládání hesel v prohlížečích. Podobně bych neradil nastavení automatického přihlašování, byť je to pohodlné. Naopak je dobré využívat druhý faktor ověření, kdykoli je to možné. Samozřejmostí by pak měla být silná hesla. Doporučil bych zkombinovat více náhodných slov, která pro uživatele tvoří zapamatovatelný příběh,“ radí Jirkal.