למרות מספר הזיהויים של כל הקודים הזדוניים לטווח ארוך עבור מערכת ההפעלה Windows בצ'כיה עדיין לא השתנה, מומחי אבטחה זיהו התקפה חזקה חסרת תקדים על משתמשים צ'כיים בפברואר. הפעם, בנוסף לתוכנת הריגול של Agent Tesla, הקודים הזדוניים שזוהו היו גם תוכנת הריגול Formbook ו-Agent.PLI הורדה, אותם הפיצו התוקפים באמצעות סקריפטים זדוניים בקבצי ההערות של תוכנת OneNote. זה נובע מסטטיסטיקות רגילות של איומי סייבר של ESET.
אתה יכול להתעניין
בפברואר, סוכן הריגול טסלה הופיע שוב בכ-15 אחוז מכל המקרים בסטטיסטיקה של ESET. הפעם הוא היה פעיל בעיקר בסוף החודש והקובץ המצורף הדוא"ל הזדוני הנפוץ ביותר שהוא התפשט דרכו נקרא "IMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe". עם זאת, בניגוד לתוכנת הריגול של Agent Tesla, מומחי אבטחה ראו התקפות חזקות ב-21 בפברואר עבור שני הקודים הזדוניים האחרים שזוהו בתדירות הגבוהה ביותר.
"Spyware Formbook, אחת מהתוכנות הזדוניות שגילינו כחלק מהתקפת פברואר החזקה, הופצה באמצעות קובץ מצורף למייל בשם Booking Details!!.exe. לכן אנו מניחים שהיעד של תוכנת הריגול היה משתמשים שכבר החלו להזמין חופשות בחודשים אלו. סוג אחר של תוכנות זדוניות תוקפות היה Agent.PLI. כאן אנו רואים מגמה חדשה בקמפיינים לתקיפה - שליחת מסמכי הערה של OneNote המכילים סקריפטים זדוניים. Agent.PLI הופיע לרוב כמסמך משותף בשם Invoice 575367.bat. תוקפים מנסים את השיטה הזו כנראה בגלל ההקשחה הכללית לשליחת קבצים מצורפים לדואר אלקטרוני, והם מחפשים דרכים לעקוף את ההגבלה הזו", מסביר מרטין ג'ירקל, ראש הצוות האנליטי בסניף פראג של ESET.
קבצים מצורפים ומסמכים עם סיומות .exe. או .bat מציינים את סוגי תוכניות ההפעלה במערכת ההפעלה Windows. מומחי אבטחה מזהירים את המשתמשים לעולם לא להפעיל תוכניות כאלה אלא אם כן הם בטוחים במקור, בתוכן ובפונקציונליות שלהן.
אתה יכול להתעניין
במקום קובץ מצורף לדוא"ל, הערה משותפת של OneNote
מומחי אבטחה מזהירים שוב ושוב שתוקפים יהיו מעוניינים מאוד לחשוב מחדש על האסטרטגיות הנוכחיות ולהשקיע השנה בסוגים חדשים של התקפות.
"למרות שהתקפות באמצעות OneNote נמצאות כעת בדעיכה ולכן נראה שלא היו מוצלחות, העיקרון מאחורי האסטרטגיה הזו בהחלט יכול להופיע מחדש", אומר Jirkal. "בסך הכל, ההתקפה הייתה פשוטה מאוד. מספר סקריפטים זדוניים .bat הוטמעו במסמך ההערה עם סיומת .one והוצבו עם תמונה. התמונה הניעה את המשתמש ללחוץ ולפתוח את המסמך. לחיצה על התמונה הזו השיקה את אחד מהסקריפטים הזדוניים, שהחל להוריד תוכנות זדוניות נוספות למכשיר, לרוב ממשפחות Qbot, IceId, AgentTesla או RedLine", מוסיף Jirkal מ-ESET.
גנבי מידע, ביניהם הקודים הזדוניים שזוהו בתדירות הגבוהה ביותר במערכת ההפעלה Windows בסתיו, הם כיום אחד האיומים הגדולים בצ'כיה. תוקפי סייבר משתמשים בהם כדי לגנוב נתונים אישיים של משתמשים, לרוב סיסמאות משתמש. הפגיעות ביותר הן סיסמאות המאוחסנות בדפדפני אינטרנט, שאינן מוגנות מספיק מפני התקפות של תוכנות ריגול. לכן מומחי אבטחה ממליצים למשתמשים להשתמש במה שנקרא מנהלי סיסמאות, תוכנות המאחסנות סיסמאות בצורה מוצפנת. מנהלי סיסמאות הם גם חלק מהטובים תוכניות אבטחה, אשר יגן באופן אמין על המשתמשים מפני תוכנות ריגול.
אתה יכול להתעניין
איומי הסייבר הנפוצים ביותר על מערכת ההפעלה Windows בצ'כיה לפברואר 2023:
- MSIL/Spy.AgentTesla טרויאני (15,14%)
- Win32/Formbook טרויאני (9,61%)
- טרויאני BAT/Agent.PLI (3,54%)
- Win32/PSW.Fareit טרויאני (1,96%)
- MSIL/Spy.Agent.AES טרויאני (1,95%)
- Win32/Shafmia טרויאני (1,43%)
- BAT/Runner טרויאני (1,22%)
- MSIL/Disdroth טרויאני (1,17%)
- MSIL/Spy.RedLine טרויאני (1,15%)
- Win32/Warzone טרויאני (1,01%)
