V Itálii probíhá hackerský útok: pozor na přiložené faktury


V posledních dnech ohrožují IT bezpečnost italských uživatelů dva hackerské útoky. Oba využívají trik falešných faktur

Neotvírejte tuto e-mailovou zprávu: může obsahovat virus. Nejedná se o obecné varování, ale o konkrétní informaci o dvou hackerských útocích, které v současné době probíhají v Itálii a jejichž cílem je rozsáhlá krádež citlivých dat.

Poplach v souvislosti s prvním útokem přichází od společnosti Yoroi, která se zabývá bezpečností IT a vydala zprávu vysvětlující dynamiku tohoto útoku, kterou potvrdil i tým pro reakci na počítačové hrozby předsednictví Rady ministrů pro veřejnou správu (CERT-PA). Jedná se o útok nazvaný SLoad-ITA, který je italsky lokalizovanou verzí hackerské kampaně vedené již v květnu proti uživatelům ve Spojeném království. Již byly zasaženy tisíce poštovních schránek: útok začal 10. listopadu a největší nápor byl zaznamenán mezi 19. a 24. listopadem. O druhém útoku informoval CERT-PA včera a týká se šíření viru Torjan Danabot, přičemž první infikovaný e-mail byl zjištěn 27. listopadu 2018 v ranních hodinách.

Jak fungují viry SLoad-ITA a Danabot

Infekce virem SLoad-ITA vychází, jak jsme již uvedli, z klasického podvodného e-mailu, který vyzývá k otevření elektronické faktury vystavené v červenci. Kliknutím na odkaz pro stažení faktury se stáhne soubor ZIP obsahující obrázek ve formátu PNG a odkaz LNK. Kliknutím na soubor LNK se spustí skutečný škodlivý kód, který je však skrytý v předchozím souboru ZIP, a díky této rafinovanosti tento útok obejde většinu antivirových kontrol e-mailových schránek. Tento kód pokračuje ve stahování dalších souborů, které ukryje v infikovaném počítači a které následně dokáží ukrást informace o všech napadených zařízeních.

Trojský kůň Danabot funguje velmi podobně: obvyklý e-mail nás vyzve ke stažení obvyklé faktury, tentokrát s datem listopad 2018, a po kliknutí na odkaz se stáhne komprimovaný soubor, tentokrát ve formátu Rar. Uvnitř souboru Rar se nachází skript, který po spuštění stáhne trojského koně Danabot do infikovaného počítače. Třetí fáze spočívá v naprogramování škodlivého softwaru tak, aby se spustil při každém restartu počítače a bránil tak případné antivirové kontrole.


Nebezpečí SLoad-ITA a Danabot

Co přesně tyto dva nové viry, které se v Itálii rychle šíří, dělají? V případě SLoad-ITA shromažďuje škodlivý kód informace o našem počítači, například o používaných aplikacích, údaje o našem internetovém připojení a pravidelně pořizuje snímky obrazovky naší pracovní plochy. Všechny tyto informace jsou pak bez našeho vědomí odeslány na hackerské servery, které na ně reagují odesláním dalších souborů (odlišných od předchozích), ale stejně infikovaných a s novými částmi škodlivého kódu. Trojský kůň Danabot se naopak pokouší ukrást systémové přihlašovací údaje (přihlašovací jména a hesla), přihlašovací údaje k prohlížeči a e-mailovému klientovi a nakonec získat vzdálený přístup k počítači prostřednictvím systémů VNC a RDP. V obou případech se tedy jedná o sofistikované kybernetické špionážní kampaně, jejichž cílem je shromáždit obrovské množství informací o zvycích (potenciálně) milionů uživatelů.


Jak se chránit před SLoad-ITA a Danabotem

Vzhledem ke způsobu fungování SLoad-ITA se útočný e-mail v současné době dostane přes antivirové filtry většiny e-mailových schránek. Neustálé stahování různých infikovaných souborů také snižuje účinnost místní antivirové kontroly na již infikovaném počítači, protože virus jako by se neustále měnil. Danabot je sice méně pokročilý, ale přesto je obtížné ho z antispamu odfiltrovat.

V současné době je proto nejlepším preventivním opatřením na obranu proti SLoad-ITA a Danabotovi také to nejméně technické: otevřete oči, a pokud obdržíte e-mail s výzvou ke stažení faktury z adresy, kterou neznáte, okamžitě ho vyhoďte.