PRAHA, Česko a TEMPE, Arizona, 9. února 2023 – Výzkumníci z oddělení Avast Threat Labs společnosti GenTM (NASDAQ:GEN), globálního lídra v oblasti digitální svobody, zaznamenali nárůst hrozeb zneužívajících metody sociálního inženýrství ke krádežím peněz, například prostřednictvím podvodů s vracením peněz, fakturami nebo technickou podporou. Vyplývá to z nejnovější zprávy o hrozbách za 4. čtvrtletí 2022. V Česku nejvíce vzrostl malware pro krádež informací Arkei, a to o 1200 %, a trojan LimeRAT, který dokáže krást hesla a kryptoměny, ale také řídit DDoS útoky a instalovat ransomware. Ten narostl o 192 %.
„Na konci roku 2022 jsme zaznamenali nárůst hrozeb zaměřených přímo na lidi. Příkladem jsou podvody, jež se uživatele snaží přesvědčit, že jejich zařízení bylo napadeno, nebo že zaplatili za zboží, které si ve skutečnosti neobjednali. Je naprosto přirozené, že lidé reagují na urgenci a strach, které v nich tyto podvody vyvolávají, a chtějí problémy vyřešit. Právě v tom tkví úspěch kyberzločinců,“ vysvětluje ředitel výzkumu malwaru v Genu Jakub Křoustek. „V případě, že se uživatelům nečekaně zobrazí vyskakovací okna nebo e-maily, doporučujeme zachovat klid a dobře si rozmyslet další krok. Na hrozby lze dnes narazit téměř všude a pro uživatele může být složité držet s nimi krok. Proto je naším posláním lidi chránit včasnou detekcí hrozeb s využitím nejnovějších technologií umělé inteligence, a včas uživatele varovat.“
Malware a adware kradou informace
V Česku výzkumníci z oddělení Avast Threat Labs zaregistrovali 1200% nárůst malwaru pro krádež informací Arkei, který je známý tím, že krade hesla a data z automaticky vyplňovaných formulářů v prohlížeči. Celosvětově pak o 57 % vzrostl počet lidí a firem chráněných před kmenem malwaru AgentTesla, který se často šíří prostřednictvím phishingových e-mailů s cílem ukrást přihlašovací údaje, a o 37 % se zvýšil počet případů nákazy malwarem RedLine stealer. Ten se obvykle šíří v nelegálních kopiích her a programů, a následně získává soukromé informace z prohlížečů a kryptoměnových peněženek uživatelů.
Ve 4. čtvrtletí se šířil také webový adware, který nejenže obtěžuje uživatele vtíravými reklamami, ale také se snaží ukrást jejich osobní údaje. Uživatele vyzývá, aby se zúčastnili loterie a pro získání výhry roztočili ruletu. Následně je aplikace požádá, aby zadali své kontaktní údaje a pomocí platební karty nebo Google účtu či Apple Pay zaplatili „manipulační poplatek“. Výzkumníci z oddělení Avast Threat Labs také zaznamenali záplavu adwarem DealPly, který se tváří jako rozšíření prohlížeče Chrome. Ve skutečnosti však útočníkům odesílá statistiky a informace o vyhledávání. Riziko nákazy adwarem DealPly se zvýšilo po celém světě, nejvíce v Severní a Jižní Americe, Evropě a jižní a jihovýchodní Asii.
Botnety a trojské koně se vzdáleným přístupem
Podle dat oddělení Avast Threat Labs vzrostl v Česku během posledního kvartálu loňského roku také trojan LimeRAT, a to o 192 %. LimeRAT je trojský kůň se vzdáleným přístupem, který dokáže krást hesla a kryptoměny, umí řídit DDoS útoky a instalovat do počítače oběti škodlivý ransomware. Aktivní byl především v jižní a jihovýchodní Asii a Latinské Americe. Botnet Emotet, rovněž distributor malwaru s širokou škálou schopností krást informace a dál šířit viry, za poslední měsíce vylepšil svou techniku, s jejíž pomocí je schopen se vyhnout antivirům a následnému odhalení. Používá k tomu časovače, které mu umožňují postupně pokračovat v šíření škodlivých souborů. Novinek se dočkal také botnet pro krádež informací Qakbot, který začal používat techniku tzv. „pašování v HTML“ k ukrytí zašifrovaného škodlivého kódu v příloze e-mailu. Při těchto útocích kyberzločinci zneužívají například obrázky ve formátu SVG, do nichž skryjí škodlivé soubory a kódy k jejich opětovné integraci.
Výzkumníci v tomto čtvrtletí objevili také dvě sofistikované zranitelnosti nultého dne . Antiviry Avast své uživatele ochránily před oběma. První z nich, CVE-2022-3723, spočívala v záměně typu v enginu V8 a sloužila „ke vzdálenému spouštění kódu“ (Remote Code Execution, RCE) v prohlížeči Google Chrome. Gen tuto zranitelnost nahlásil společnosti Google, která 27. října 2022 během pouhých dvou dnů rychle vydala opravu. Druhá zranitelnost nultého dne, CVE-2023-21674, byla zranitelnost LPE v ALPC, která útočníkům umožňovala dostat se ze sandboxu prohlížeče až do jádra systému Windows. Společnost Microsoft tuto chybu opravila v pravidelné aktualizaci v lednu 2023.
Rostou podvody s vracením peněz, fakturami a technickou podporou
Oddělení Avast Threat Labs zaznamenalo v minulém čtvrtletí nárůst podvodů s falešnou technickou podporou. Mezi nejvíce zasažené země patří Spojené státy, Brazílie, Japonsko, Kanada a Francie. Tyto podvody obvykle začínají vyskakovacím oknem, které uživatele upozorní na údajné napadení malwarem a vyzývá je, aby pro řešení problému kontaktovali linku zákaznické podpory. Podvodníci uživatele následně přesvědčí, aby jim na svém počítači nastavil a povolil vzdálené připojení, čímž jim otevře dveře ke krádeži osobních údajů i finančních prostředků. Kyberzločinci se totiž pokoušejí získat přístup i do bankovních účtů a kryptopeněženek obětí a žádají peníze za své falešné služby.
„Doporučujeme, aby lidé taková vyskakovací okna ignorovali a zavřeli je pomocí klávesy ‘Escape’. Pokud to není možné, je dobré počítač restartovat,“ doporučuje Křoustek. „Nikdy také nedávejte vzdálený přístup ke svému počítači nikomu, koho neznáte.“
Výzkumníci z oddělení Avast Threat Labs také pozorovali vzestup podvodů s vracením peněz a fakturami, a to o 14 % v období od října do listopadu a o dalších 22 % v prosinci. Podvody s vracením peněz fungují podobně, jako podvody s technickou podporou. Často mají podobu e-mailu, který zdánlivě pochází od důvěryhodné společnosti. Lidé obdrží e-mail včetně falešné účtenky, která v nich vyvolá zdání, že omylem zaplatili za zboží, které si neobjednali. Podvodníci je následně vyzývají k telefonátu, kde je operátor požádá o vytvoření vzdáleného přístupu k jejich počítači a otevření online bankovnictví, údajně proto, aby mohl uživatel sledovat, jak jim podvodník peníze vrací. Cílem kyberzločinců je však oběti peníze ukrást. V případě podvodů s fakturami pak lidé a častěji firmy obdrží fakturu za zboží či služby, které si nikdy neobjednali ani je neobdrželi.
„Těmto podvodům se lidé mohou vyhnout jen tak, že si vždy dobře zkontrolují faktury a účtenky, které dostanou. Podvodné faktury vypadají často věrohodně, uživatelé by se tak měli ujistit, že si zboží opravdu objednali, že je dostali, a prodávající je skutečně tím, za koho se vydává,“ dodává Křoustek.
Kompletní zpráva oddělení Avast Threat Labs společnosti Gen o hrozbách za 4. čtvrtletí 2022 navíc přináší informace o spywaru, nejnovějších bankovních trojanech a podvodných SMS a je k nalezení na blogu Decoded: https://decoded.avast.io/threatresearch/avast-q4-2022-threat-report.