„Takový nástup nikdo nečekal.“ Agent.BTQ stojí za každým jedenáctým útokem v Česku

Bezpečnostní experti upozorňují, že „takový nástup nikdo nečekal“. Nové hrozby se totiž zpravidla objeví ve virových statistikách na nižších místech – je to dáno tím, že kyberšmejdi nejprve testují funkce nezvaného návštěvníka na menším vzorku cílů, než jej začnou masivně šířit.

To jim umožňuje otestovat všechny funkce a vyladit případné chyby, aby záškodník pracoval přesně podle jejich představ.

O Agentu.BTQ ale v uplynulých měsících nikdo neslyšel a rovnou se začal masivně šířit napříč poklidnými vodami českého internetu. Aktuálně jde tak po spywaru Agent Tesla, před kterým Novinky.cz varovaly již dříve, o druhou nejrozšířenější hrozbu s podílem 8,84 %. V praxi tak stojí za každým 11. útokem na stroje s operačním systémem Windows.

„Škodlivý kód Agent.BTQ se v naší statistice objevil bez předchozích významnějších detekcí stejně jako v květnu malware Agent.RWL. Jedná se o pokročilejší škodlivý kód, který může do počítače stahovat další malware,“ konstatoval Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce Esetu.

Nový malware naznačuje podle něj i to, že kyberšmejdi nasazují v tuzemsku pokročilejší zbraně. „To, že se dva měsíce po sobě objevily v Česku jiné kódy, než je dlouhodobě detekovaný spyware, svědčí o tom, že útočníci pravděpodobně nakupují pokročilejší škodlivé kódy od jiných útočníků,“ podotkl Jirkal.

Tento nezvaný návštěvník se v prostředí Windows šíří nejčastěji prostřednictvím škodlivých e-mailových příloh. „Útočníci je vydávají za různé faktury nebo objednávky a mohou tak zmást především zaměstnance firem, kteří denně pracují s větším objemem e-mailové komunikace,“ varoval bezpečnostní expert s tím, že přílohy nevyžádaných e-mailů mají nejčastěji koncovku .exe.

Právě koncovka .exe by pro uživatele měla být varováním, označuje totiž spustitelný soubor. Takovou přílohu bychom neměli vůbec rozklikávat – naopak je nutné takové e-maily neprodleně smazat.

Výše zmiňovaný Agent.RWL masivně útočil v květnu, kdy se z prakticky neznámého škodlivého kódu vyšvihnul na první příčku virových statistik s podílem 31,66 %. Přestože se tento nezvaný návštěvník v nejnovějších statistkách nedostal ani do první desítky, bezpečnostní experti stále nabádají k obezřetnosti – hackeři mohou totiž jen přeskupovat zbraně.

Agent.RWL patří mezi tzv. downloadery. Jde o škodlivé kódy, které na napadeném systému fungují v podstatě jako přenosné schránky pro šíření dalších virů. „Malware Agent.RWL patří k velmi pokročilým škodlivým kódům. Po tom, co infikuje počítač, do něj stahuje další škodlivé kódy z Googlu Drive,“ upozornil Jirkal.

Tím ale možnosti tohoto záškodníka nekončí. „Malware obsahoval i takzvaný killswitch, což nám opět potvrdilo, že se nejedná o běžnou kybernetickou hrozbu, se kterou se čeští uživatelé systému Windows pravidelně setkávají. Jde o funkcionalitu, která dokáže infekci v systému zastavit. To využívají například autoři škodlivých kódů, aby sami nenakazili svá zařízení,“ vysvětlil Jirkal.

Agent.RWL se nejčastěji šíří prostřednictvím nevyžádaných e-mailů. V květnu šlo o zprávy, které měly přílohu s názvy „objednávku_Sollau-000000035_24_826_MBZ_100524_N_200.hta“ nebo „1751155914_456409723_KHI_CZ_240506_0946_P.hta“.

Koncovka .HTA se používá pro aplikace, které obsahují vlastnosti HTML spolu s vlastnostmi jiných skriptovacích jazyků. Uživatelé by tedy před takovými soubory měli být stejně obezřetní, jako když má příloha koncovku .EXE.