Въпреки че броят на откриванията на всички дългосрочни злонамерени кодове за операционната система Windows в Чешката република все още не се е променило, експертите по сигурността откриха безпрецедентно силна атака срещу чешки потребители през февруари. Този път, освен шпионския софтуер на Agent Tesla, засечените злонамерени кодове са и шпионският софтуер Formbook и програмата за изтегляне Agent.PLI, които нападателите разпространяват чрез злонамерени скриптове във файловете с бележки на програмата OneNote. Това следва от редовна статистика за киберзаплахи от ESET.
Може да се интересувате от
През февруари Spyware Agent Tesla се появи отново в приблизително 15 процента от всички случаи в статистиката на ESET. Този път беше активен основно в края на месеца и най-често срещаният злонамерен имейл прикачен файл, чрез който се разпространяваше, се наричаше „IMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe“. За разлика от шпионския софтуер Agent Tesla обаче, специалистите по сигурността са видели силни атаки на 21 февруари в случая на двата други най-често откривани злонамерени кода.
„Spyware Formbook, един от зловреден софтуер, който открихме като част от мощната февруарска атака, беше разпространен чрез прикачен файл към имейл, наречен Booking Details!!.exe. Следователно предполагаме, че целта на шпионския софтуер са били потребители, които вече са започнали да резервират ваканции през тези месеци. Друг тип атакуващ зловреден софтуер беше Agent.PLI. Тук виждаме нова тенденция в кампаниите за атака – изпращане на документи с бележки на OneNote, които съдържат злонамерени скриптове. Agent.PLI най-често се появява като споделен документ с име Invoice 575367.bat. Нападателите опитват този метод вероятно поради затегнатите правила за изпращане на прикачени файлове към имейли и търсят начини да заобиколят това ограничение“, обяснява Мартин Джиркал, ръководител на аналитичния екип в клона на ESET в Прага.
Прикачени файлове и документи с разширения .exe. или .bat показват типовете изпълними програми в операционната система Windows. Експертите по сигурността предупреждават потребителите никога да не стартират подобни програми, освен ако не са сигурни в техния произход, съдържание и функционалност.
Може да се интересувате от
Вместо прикачен файл към имейл, споделена бележка в OneNote
Специалистите по сигурността многократно предупреждават, че нападателите ще бъдат много заинтересовани да преосмислят настоящите стратегии и да инвестират в нови видове атаки тази година.
„Въпреки че атаките, използващи OneNote, в момента намаляват и следователно изглежда не са били успешни, принципът зад тази стратегия със сигурност може да изплува отново“, казва Jirkal. „Като цяло атаката беше много проста. Няколко злонамерени .bat скрипта бяха вградени в документа на бележката с разширение .one и бяха насложени с изображение. Изображението подкани потребителя да щракне и да отвори документа. Щракването върху това изображение стартира един от злонамерените скриптове, които започнаха да изтеглят допълнителен зловреден софтуер на устройството, най-често от фамилиите Qbot, IceId, AgentTesla или RedLine“, добавя Jirkal от ESET.
Infostealers, сред които най-често откриваните злонамерени кодове в операционната система Windows есен, те в момента са една от най-големите заплахи в Чехия. Кибер нападателите ги използват, за да откраднат лични данни на потребителите, най-често потребителски пароли. Най-уязвими са паролите, съхранявани в интернет браузъри, които не са достатъчно защитени срещу шпионски атаки. Поради това специалистите по сигурността препоръчват на потребителите да използват така наречените мениджъри на пароли, програми, които съхраняват пароли в криптирана форма. Мениджърите на пароли също са част от добрите програми за сигурност, което надеждно ще защити потребителите от шпионски софтуер.
Може да се интересувате от
Най-честите киберзаплахи за операционната система Windows в Чехия за февруари 2023 г.:
- MSIL/Spy.AgentTesla троян (15,14%)
- Троян Win32/Formbook (9,61%)
- BAT/Agent.PLI троянски (3,54%)
- Троян Win32/PSW.Fareit (1,96%)
- Троянски кон MSIL/Spy.Agent.AES (1,95%)
- Троян Win32/Shafmia (1,43%)
- BAT/Runner троянски кон (1,22%)
- Троянски кон MSIL/Disdroth (1,17%)
- Троянски кон MSIL/Spy.RedLine (1,15%)
- Троян Win32/Warzone (1,01%)
