Viry v podvodných e-mailech: jak se bránit


Vlna malspamu v Itálii: pozor na faktury přiložené k e-mailům z neznámých adres

V Itálii dochází v posledním období ke dvěma typům hackerských útoků ze strany kyberzločinců. Hovořili jsme o nich v tomto článku, který převzalo i Federprivacy, hlavní italské sdružení odborníků na ochranu osobních údajů.

Útoky, jejichž cílem je šíření virů známých jako SLoad-ITA a Danabot, mají podobu klasického podvodného e-mailu, který nás vyzývá k otevření odkazů nebo přiložených dokumentů, jako je například elektronická faktura.

V současné době je proto nejlepším preventivním opatřením vždy to "nejklasičtější", které je svěřeno obezřetnosti uživatele:  neotvírat a okamžitě vyhodit do koše jakýkoli e-mail, který nás vyzývá ke stažení takových dokumentů zejména od neznámého odesílatele nebo adresy. Ve skutečnosti je vždy užitečné pečlivě analyzovat i e-maily od známých odesílatelů, než se pustíte do odkazů nebo stahování: mohou být samy infikované nebo se může jednat o podvrh.

Co je to virus SLoad-ITA

SLoad-ITA, jak napovídá jeho název, je italskou verzí hackerského útoku, který se odehrál ve Velké Británii v květnu 2018. Jedná se o malspamový útok, při kterém je malware, který infikuje počítač, rozesílán prostřednictvím masivní spamové kampaně, jejímž cílem je zasáhnout co největší počet uživatelů. Aby toho dosáhli, použili kyberzločinci také techniky sociálního inženýrství, aby se představili jako autoritativní partneři a přesvědčili uživatele, aby udělali přesně to, co chtějí.

S cílem oklamat uživatele rozeslala hackerská skupina stojící za útokem SLoad-ITA e-mailovou zprávu s oznámením o nezaplacené faktuře (v příloze) z července 2018. Při stahování přílohy však zjistíte, že se jedná o soubor ZIP (tj. komprimovanou složku), a nikoli o soubor PDF nebo DOC, jak byste očekávali. Po otevření komprimovaného souboru najdete dva soubory: obrázek a soubor s příponou LNK. Pokus o otevření souboru LNK pouze spustí malware, trojského koně RAT (což je zkratka pro Remote Access Trojan), který hackerům umožní přístup k datům na našem pevném disku a umožní stahování dalšího malwaru, aniž by si toho uživatel všiml.

Speciálně by SLoad-ITA dokázal během používání počítače pravidelně pořizovat snímky obrazovky a automaticky je odesílat hackerovi. Kyberzločinec tak bude vždy vědět, co děláme.


Co je to virus Danabot

Druhou hrozbou, jejíž šíření v Itálii začalo v posledních dnech listopadu 2018, je bankovní trojský kůň, který už bezpečnostní experti po celém světě znají. Jak upřesňuje jedna z předních společností zabývajících se IT bezpečností ESET, Danabot je modulární a víceúrovňový malware, který mohou hackeři pomocí pluginů upravovat a přizpůsobovat tak, aby se přizpůsobil různým národním reáliím, ve kterých může být použit.

I v tomto případě došlo k šíření prostřednictvím spamové e-mailové kampaně velmi podobné té, která byla použita k šíření SLoad-ITA, což vede k domněnce, že by se za oběma útoky mohla skrývat stejná skupina. V tomto bodě však není nic jistého. Danabot se šíří prostřednictvím komprimovaného souboru s příponou RAR, který obsahuje infikované soubory, jež se nainstalují do paměti napadeného počítače.

Jak již bylo zmíněno, původním účelem Danabotu bylo získávat a krást bankovní informace napadených uživatelů (přihlašovací údaje k domácímu bankovnictví, čísla kreditních karet apod.), ale po změnách v posledních týdnech se možnosti tohoto malwaru výrazně rozšířily. Danabot nyní umožňuje hackerům vzdáleně ovládat infikované počítače (díky pluginu VNC), analyzovat datové pakety a získávat různé typy informací o zvycích uživatele (plugin Sniffer), krást hesla z prohlížečů, e-mailových klientů a dalšího softwaru nainstalovaného v počítači (plugin Stealer).