Šíří se přes poznámky. Nebezpečný virus otevírá zadní vrátka do Windows

Škodlivé kódy se nejčastěji šíří jako příloha nevyžádaných e-mailů. Že jde o záškodníka mohou pozornější uživatelé poznat velmi často na první pohled, protože přiložený soubor má spustitelnou koncovku .exe nebo .bat, jde tedy o program pro Windows.

Bezpečnostní experti upozorňují uživatele, aby takové programy nikdy nespouštěli, pokud si nejsou jisti jejich původem, obsahem a funkcionalitami.

V případě škodlivého viru Agent.PLI je tomu ale jinak, ten má úplně jinou příponu. Uživatelé tak nemusí na první pohled ani poznat, že jde o škodlivý kód. „Zde vidíme nový trend v útočných kampaních – zasílání poznámkových dokumentů programu OneNote, které obsahují škodlivé skripty,“ varoval Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.

„Agent.PLI se nejčastěji objevoval jako sdílený dokument s názvem Invoice 575367.bat. Tuto metodu útočníci zkoušejí pravděpodobně kvůli zpřísňujícím se pravidlům pro posílání e-mailových příloh, a hledají možnosti, jak toto omezení obejít,“ konstatoval Jirkal.

Celkově byl útok velmi jednoduchý. „V poznámkovém dokumentu s příponou .one bylo vloženo několik škodlivých .bat skriptů, které byly překryty obrázkem. Obrázek nabádal uživatele ke kliknutí a otevření dokumentu. Kliknutím na tento obrázek se spustil jeden ze škodlivých skriptů, který začal stahovat do zařízení další malware, nejčastěji z rodin Qbot, IceId, AgentTesla nebo RedLine,“ popsal průběh útoku bezpečnostní expert.

Podle něj je evidentní, že kyberzločinci budou mít letos velký zájem přehodnocovat současné strategie a investovat do nových typů útoků. „Přestože útoky s použitím programu OneNote aktuálně slábnou a zdá se tedy, že úspěšné nebyly, princip této strategie se určitě může znovu objevit,“ podotkl Jirkal.

Z řádků výše je patrné, že uživatelé by si v případě nevyžádaných e-mailů měli dávat pozor na různé typy souborů. Škodlivé kódy se totiž mohou ukrývat i v jiných přílohách než těch s koncovkami .exe nebo .bat.