Snake Keylogger nebo Infostealer Formbook? Útočníci hledají nástupce malwaru Agent Tesla

Nejsilnější útočné kampaně infostealeru Formbook probíhaly z 10. na 11. března a pak koncem měsíce, 28. a 31. března. Nejčastější škodlivá příloha, který malware ukrývala, se tentokrát jmenovala „Purchase Order 139022.exe“. Bezpečnostní experti při bližším pohledu potvrdili, že útočníci se ve všech případech snažili své oběti nalákat na e-mail s informacemi o doručování balíku.

Infostealer Formbook má aktuálně jasně ohraničené útočné kampaně a mimo ně byli útočníci v březnu aktivní spíše ojediněle. Mohlo by se zdát, že infostealer je tak méně nebezpečný, ale opak je spíše pravdou, protože aktuální útoky jsou zacílené na konkrétní státy a útočníci do nich investují více zdrojů. Využívají i zcela nové verze způsobů útoku.

Který ze zlodějů dat nakonec převezme žezlo?

Infostealer Formbook se v březnu objevil se stejným počtem detekcí, jako v únoru Snake Keylogger alias Agent.AES. Došlo tak k tomu, že si tyto dva škodlivé kódy prakticky vyměnily své pozice. Keylogger zaznamenává stisky kláves na klávesnici, dokáže ale odcizit data dalšími způsoby, které jsou typické pro tento typ škodlivých kódů. Útočníci jej neustále vyvíjejí. Dokážou s jeho využitím odcizit hesla z komunikačních platforem nebo e-mailových klientů, z FTP, webových prohlížečů nebo bezdrátových sítí. V březnu vyzkoušeli strategii, při které se pokusili zmást uživatele domnělými oskenovanými dokumenty v příloze e-mailů – „Scanned Copy.exe“ a „Scan Doc.exe“. Po jejich spuštění keylogger infikoval počítač oběti.

Aktuální situace je stále nestabilní poté, co autor infostealeru Agent Tesla ukončil jeho vývoj a jeho čísla se po několika letech dominantní převahy skokově propadly. Jak o infostealeru Formbook, tak o malwaru Agent.AES se mluví jako o jeho možných nástupcích. Evidentně zatím ani jeden z těchto škodlivých kódů nemá takovou převahu, jakou se vyznačoval Agent Tesla. Může za tím být i skutečnost, že oba typy škodlivých kódů útočníci dynamicky vyvíjejí, proto vždy u jednoho z nich zaznamenáme ve sledovaném měsíci pokles počtu detekcí. 

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Jeden e-mail může ukrývat různé typy kyberhrozeb

Ačkoli i ve firmách jsou dnes stále více využívány různé komunikační platformy, e-mail přesto zůstává oblíbeným prostředkem pro spojení s druhými lidmi a službami. Může za tím stát i jeho hojné využití jako přihlašovacího jména u celé řady internetových obchodů a služeb.

Kromě infostealerů mohou útočníci prostřednictvím e-mailů šířit i ransomware nebo se vydávat za někoho jiného a manipulovat s námi. Jedná se o phishing, můžeme ale mluvit i o spoofingu, kdy útočník zfalšuje adresu odesílatele e-mailu tak, že vypadá legitimně.

„S tím, jak dnes žijeme rychle a musíme zvládat denně velký objem elektronické komunikace, můžeme snadno přehlédnout varovné ukazatele a nechtěně kliknout na nebezpečný odkaz nebo stáhnout a spustit škodlivou přílohu. Pro účinnou obranu před těmito hrozbami je tak za mě ideální kombinovat kvalitní bezpečnostní řešení s tvorbou silných unikátních hesel a využíváním vícefázového ověřování. Cílem infostealerů jsou naše data, především uživatelská hesla, která se dají dobře zpeněžit na černém trhu nebo rovnou využít k přípravě nového útoku. Jakmile útočníci odcizí jedno naše heslo, které využíváme na více místech, velmi rychle prolomí naše další účty,“ říká Martin Jirkal z ESETu.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za březen 2025:

1. Win32/Formbook trojan (25,96 %)
2. MSIL/Spy.Agent.AES trojan (15,62 %)
3. MSIL/Spy.AgentTesla trojan (3,12 %)
4. Win64/Agent.ECK trojan (2,87 %)
5. MSIL/Agent.DWN trojan (2,57 %)
6. BAT/Agent.QSN trojan (2,50 %)
7. Win32/Delf.NBX virus (1,99 %)
8. Win32/Expiro virus (1,84 %)
9. Win32/Loader.Ropalidia trojan (1,11 %)
10. Win32/PSW.Fareit trojan (0,91 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.