Hlavní navigace

Spolu s koronavirem světem putuje malware, který zneužívá situace

Zprávy o pandemii koronaviru prakticky nelze v médiích všeho druhu přeslechnout. Bohužel nastalého humbuku, strachu a nejistoty velmi zdařile využívají útočníci vypouštějící do světa úspěšný malware.
Petr Kajzar 16. 3. 2020
Doba čtení: 5 minut

Sdílet

Emoce a práce z domova

Souvislostí je více, ale můžeme zmínit alespoň dva základní pilíře. Za prvé, současnou situaci provází velmi silné emoce. To je ideální substrát pro hackerské aktivity namířené proti lidem. Během zjitřené doby jsou totiž uživatelé mnohem méně pozorní, a tudíž mnohem náchylnější vůči útokům.

Za druhé, spousta lidí nyní bude pracovat z domova. Mnohé firmy práci z domova umožňují již dávno a mají na to zavedené nástroje. Existují však instituce (nebo jejich části), kde práce z domova zvykem nebyla a nyní se ve shonu snaží vše nastavit a zprovoznit, aby udržely pracovníky v kontaktu se zaměstnáním alespoň vzdáleným přístupem. To s sebou samozřejmě nese další bezpečnostní rizika – neaktuální software, ledabyle nastavené přístupy, otevřené RDP porty nebo nedostatečně zabezpečená VPN, neškoleného a nezkušeného uživatele a mnohdy i používání osobních zařízení (vlastní laptopy, mobily).

Tento koktejl tvoří příhodné prostředí, ve kterém se útočníkům daří lépe než za klidných časů. Právě koronavirus provází již celá řádka malwarových kampaní, často se objevuje phishing a možná s ním souvisí i některé případy napadení ransomwarem.

První malware mířený na Japonsko

Již v lednu tohoto roku, tj. necelý měsíc po vypuknutí nákazy v Číně, se vyrojily první útoky. Například tým IBM X-Force zaznamenal vlnu e-mailových zpráv v japonštině. Tyto zprávy se tvářily jako informace o pacientech infikovaných koronavirem a více informací slibovaly v příloze.

Přílohou byl dokument Office, který po otevření žádal, aby uživatel opustil zabezpečený režim prohlížení (což je režim automaticky spouštěný u souborů stažených z internetu) a povolil editace. Tím se otevřela brána útoku: VBA makro spustilo skript v PowerShellu a došlo ke stažení Emotet trojanu do počítače. Hotovo.

Phishing mnoha tváří

Už během ledna se objevily i phishingové kampaně tvářící se jako zprávy od Světové zdravotnické organizace (World Health Organisation, WHO) či od amerického Centra pro kontrolu a prevenci nemocí (Centers for Disease Control and Prevention, CDC). Nabízely aktuální informace o šíření nákazy, ovšem jedině po zadání přihlašovacích údajů k e-mailové schránce uživatele. Před podobnými zprávami v únoru varoval i český GovCERT.

Další phishingové kampaně zkoušejí i jiné způsoby. Například rozesílají žádost o vyplnění krátkého dotazníku (který začíná „přihlášením“ např. do Outlook Web App), nabízejí dezinfekční gely či roušky za přijatelnou cenu (a opět je mnohdy nutné „přihlášení“), doporučují zajímavý text o nastupující pandemii (ale je nutné se „přihlásit“ do cloudového úložiště, např. OneDrive nebo Dropboxu, aby se soubor zobrazil).

Samozřejmě se najdou i e-maily zacílené na příjemce alternativních „pravd“, kde po „přihlášení“ slibují prozradit pravdu, kterou nám oficiální představitelé tají a která nás všechny bude šokovat.

Zacíleno na platby

Další typ útoků se tváří jako srdcervoucí e-mailová zpráva o tom, jak spousta dobrovolníků pomáhá v boji s nákazou, vědci se snaží o vytvoření nové vakcíny, charity dodávají do postižených oblastí zdravotnický materiál a podobně.

Zpráva je korunována žádostí o příspěvek na aktivity té které organizace, některé zprávy dokonce obsahují i QR kód pro rychlou platbu. Zadaná platba samozřejmě nejde na dobročinnost, nýbrž útočníkům (a někteří si samozřejmě rovnou vezmou i čísla platební karty a bezpečnostní kódy).

Aktuální mapa výskytu s bonusem

Poslední zprávy mluví i o malwaru, který nabízí aktualizovanou mapu výskytu onemocnění COVID-19. Vizuálně k tomu využívá interaktivní mapu od Johns Hopkins University, která je v současnosti hodně populární hlavně v médiích.

Slibuje uživatelům aplikaci, která zobrazí mapu rychleji a aktuálněji, než je originál na webu. Samozřejmě malware je součástí balení. Aplikace je dokonce k dispozici jako upravitelný java infection kit za relativně vysokou částku 200–700 dolarů.

Je dobré se chránit

Stejně jako jindy i nyní platí základní doporučení pro běžné uživatele:

  • Nevěřte e-mailům, adresa odesílatele se dá vcelku snadno zfalšovat, podobě jako adresa odesílatele korespondenčního lístku. A to včetně e-mailové adresy vašeho šéfa nebo oficiální e-mailové adresy WHO nebo CDC. A pokud není adresa přímo zfalšovaná, může být třeba jen velmi podobná (například who.int versus who.in). Pryč je doba afrických strýčků s pohádkovým dědictvím. Zákeřné e-maily jsou mnohem lépe cílené, a právě proto jim podlehnou až desítky procent adresátů. Pokud si nejste jistí, kontaktujte odesílatele jiným kanálem (osobně, telefonicky) a ujistěte se, že vám opravdu posílá tak skvělou přílohu.
  • Než otevřete odkaz z e-mailové zprávy, ukažte si na něj myší. Ve stavovém řádku prohlížeče nebo v „bublině“ u myši se vám ukáže, kam odkaz doopravdy směřuje. Nevěřte textu odkazu přímo v e-mailové zprávě a vždy si cíl odkazu ověřte. Možná směřuje jinam, než jste mysleli.
  • Důležité adresy raději vyťukávejte ručně. I dobře vypadající webová adresa může mít drobný „překlep“ nebo třeba o písmenko vedle umístěnou tečku – a už to není správná adresa, kam byste své heslo měli zadávat. Ze stejného důvodu raději nezadávejte své přihlašovací údaje na stránce, kterou jste otevřeli přes odkaz v e-mailu.
  • Kontrolujte ikonu „zámečku“ vedle URL adresy. Neznamená to, že je stránka důvěryhodná, ale to, že vaše přihlašovací údaje poputují sítí do cíle zabezpečeným způsobem.
  • Neotevírejte přílohy e-mailu, které neočekáváte. Hlavně pozor na spustitelné (.exe) soubory a zazipované archivy (.zip). Ale ani dokumenty Office nejsou úplně bezpečné. Pokud jste přílohu nečekali, je lepší si u odesílatele ověřit, že vám to opravdu posílá on.

Pokud už kliknete na závadný odkaz, není vše ztraceno:

MIF aplikace

  • Pokud jste zadali své přihlašovací údaje na podvodnou stránku, co nejrychleji si změňte heslo. Pokud nepoužíváte správce hesel, vymyslete si třeba dlouhou větu (Moje babička chová slepice a pěstuje ředkev.) To pro začátek stačí. Pak kontaktujte IT oddělení nebo CSIRT tým své organizace.
  • Pokud jste otevřeli závadnou přílohu, kontaktujte co nejrychleji IT oddělení nebo CSIRT tým své organizace.
  • Čím rychleji zareagujete, tím lépe se podaří zamezit větším a dost závažným následkům (viz nedávné případy napadených nemocnic).

Samozřejmě platí obecné rady pro každodenní práci:

  • Udržujte svůj počítač i mobilní telefon aktuální.
  • Odinstalujte aplikace, které nepoužíváte.
  • Používejte na každou službu jedinečné a silné heslo. Může to být klidně věta týkající se vašeho života. Ideální je ovšem mít nějakého správce hesel, který vám silné heslo vygeneruje (KeePass, LastPass, 1Password apod.).
  • Pokud to služba umožňuje, používejte dvoufaktorovou autentizaci (např. Google, sociální sítě). To je např. kód, který vám přijde v SMS nebo v aplikaci na mobilu, abyste se mohli přihlásit do svého účtu.
  • Zkontrolujte si, že se vaše heslo nepovaluje volně někde na internetu. Jak na to? Zadejte svou e-mailovou adresu (pracovní i osobní) na kontrolní web Have I Been Pwned? a uvidíte, které služby neuhlídaly vaše přihlašovací údaje. Na těch si určitě změňte svá hesla.

Základ tohoto textu má původ v autorově „informačním balíčku“pro běžné uživatele WikiSkript.