Analýzy hrozeb

Malwarové reklamní kampaně zneužívají koronaviru a uživatelům prohlížeče Internet Explorer kradou data

Threat Intelligence Team, 17. duben 2020

Uživatelé zastaralých verzí prohlížeče Internet Explorer jsou cílem malwaru Kpot v2.0, který se šíří prostřednictvím tzv. Fallout Exploit Kitu

Kyberzločinci zneužívají koronavirové krize k přivýdělku. Taktika, kdy útočníci nakupují reklamní prostor na webových stránkách, na které umisťují škodlivé reklamy, není nová. Nyní však stránkám dávají jména související s koronavirem, aby budily dojem, že obsahují důležité informace týkající se současné krize. Taková je například aktuální malwarová kampaň, která používá exploit kit s názvem Fallout. Ten zneužívá zranitelností starších verzí prohlížeče Internet Explorer a bez vědomí uživatele nainstalluje vir Kpot v2.0, který krade informace a hesla.

Exploit kit Fallout existuje zhruba od roku 2018 a zaměřoval se především na uživatele z Japonska a Jižní Koreje. Letos 26. března však útočníci provozující tuto kampaň zaregistrovali doménu covid19onlineinfo[.]com, a od té doby registrují denně přibližně šest nových adres hostujících exploit kit Fallout, aby se vyhnuli detekcím antivirů.

Malwarové reklamní kampaně se typicky vyskytují na stránkách streamovacích služeb, kde se obvykle automaticky otevřou v novém okně, jakmile uživatel klikne na tlačítko pro přehrání videa. Pokud uživatel zastaralé verze prohlížeče Internet Explorer navštíví takovou stránku, exploit kit se pokusí získat kontrolu nad jeho počítačem. Nejčastěji cílí na zranitelnost programu Adobe Flash Player (CVE-2018-15982, na kterou vyšla oprava v lednu 2019), čímž může spustit libovolný kód, či na zranitelnost ve VBScript engine, jež ovlivňuje několik verzí systému Windows (CVE-2018-8174, na niž vyšla oprava v květnu 2018). Prohlížeč v důsledku toho může spadnout, to je však jediné špatné znamení, které uživatel zaznamená.

Tento exploit kit dříve napadal počítače různými viry pro krádež dat a hesel, a také bankovními trojany. Nyní však šíří stealer Kpot v2.0, který se snaží ukrást základní informace, jako je název počítače, jméno uživatele Windows, IP adresa, typ instalovaného software, machine GUID a další. Tato data pak odesílá na řídicí C&C server.

Následně malware začne krást hesla a další soubory. Podle výzkumníků z firmy Proofpoint, kteří malware Kpot analyzovali, může z řídícího serveru dostat tyto příkazy:

  • Ukrást cookies, hesla a automaticky vyplňované informace z prohlížeče Chrome
  • Ukrást cookies, hesla a automaticky vyplňované informace z prohlížeče Firefox
  • Ukrást cookies z prohlížeče Internet Explorer
  • Ukrást různé soubory týkající se kryptoměn
  • Ukrást účty na platformě Skype
  • Ukrást účty na platformě Telegram
  • Ukrást účty na platformě Discord
  • Ukrást účty na platformě Battle.net
  • Ukrást hesla z prohlížeče Internet Explorer
  • Ukrást účty na platformě Steam
  • Vyfotit snímek obrazovky
  • Ukrást účty různých FTP klientů
  • Ukrást různé přihlašovací údaje k systému Windows
  • Ukrást účty na platformě Jabber
  • Vymazat se

K 14. dubnu 2020 zabránil Avast celkem 178 814 pokusům o útok, které cílily na 96 278 uživatelů po celém světě. V České republice šlo celkem o 1 487 útoků na 988 osob, na Slovensku se pak útočníci pokusili napadnout 296 uživatelů prostřednictvím 407 pokusů. V tabulce níže jsou uvedeny země, které byly těmto útokům vystaveny nejvíce.

Země

Zablokované pokusy o útok

Počet cílených uživatelů

Kanada

37 342

12 496

USA

30 001

13 930

Japonsko

17 306

8 438

Španělsko

15 484

9 609

Itálie

10 494

6 648

Austrálie

6 222

2 780

Brazílie

5 833

4 051

Francie

5 813

4 183

Turecko

3 900

2 568

Německo

3 331

2 452

Jak se bránit:

  • Nainstalujte si antivirový program, který bude detekovat a zachytávat škodlivé útoky, jako je tento.
  • Vždy udržujte všechy programy, prohlížeče a operační systémy aktualizované. Nové aktualizace jsou důležité nejen proto, že přinášejí nové funkce, ale mohou také zahrnovat opravy bezpečnostních chyb, kterých mohou útočníci snadno zneužít.
  • Vypněte si doplněk Flash, pokud ho nepoužíváte. Mnoho stránek jej dnes už nepoužívá, ale kyberzločinci i nadále dokážou využít jeho zranitelností.
  • Zapněte si nový doplněk Avast Password Protection, který je součástí sekce soukromí v rámci produktu Avast Premium. Avast Password Protection vás upozorní, pokud se nějaký program pokusí získat přístup k heslům uloženým v prohlížečích Chrome a Firefox.