Miroslav Dvořák

Ředitel odboru Správa informační bezpečnosti společnosti GORDIC

Výzkumný tým ESETu odhalil a analyzoval tzv. zero day exploit zneužívaný pro vysoce cílené útoky, které byly zaměřené především na země východní Evropy, přičemž Česká republika podle dostupných informací cílem nebyla.

Podstatou incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení.

Tato zranitelnost využívá slabinu jednoho z programů v balíku Mirosoft Office, jmenovitě Microsoft Equation Editor. Jde o nástroj pro práci s matematickými rovnicemi. Zmíněný exploit umožní spuštění libovolného programového kódu, poté co uživatel otevře škodlivý dokument.

Podle očekávání posilují také detekce podvodných javascriptových reklamních kampaní. Tyto detekce v květnu poklesly prakticky na polovinu a nyní se opět vracejí. Tento malware je nepříjemný, protože krom přesměrování na reklamní weby maže seznam navštívených stránek. To znemožňuje uživateli návrat zpět na legitimní webovou stránku.

Postupně stoupá i počet uživatelů chytrých telefonů, kteří si je chrání bezpečnostním softwarem. Přestože se meziroční nárůst pohybuje v jednotkách procent, jedná se o dlouhodobý trend. Aktuálně si svůj chytrý telefon chrání 59% uživatelů. Počet zabezpečených mobilních telefonů se oproti roku 2018 zlepšil o 1%.

Je potřeba v tomto trendu nepolevovat a nadále edukovat uživatele. Naše telefony často obsahují stejně citlivá data jako počítače. Nejde jen o kontakty nebo fotografie, ale také o aplikace, které používáme.

Řadoví zaměstnanci vnímají přísné interní regule spíše nelibě, protože neznají důvody ani možná rizika. Spíše než posílení bezpečnosti, může paradoxně dojít k jejímu oslabení. Běžný uživatel si totiž složité heslo často poznamená lístek u monitoru nebo uloží v třeba ve webovém prohlížeči, protože má obavu, že jej zapomene.

Pokud poté dojde ke kompromitaci onoho jediného faktoru sloužícího pro přístup od informačního systému, má útočník cestu otevřenou. Nová verze ESET Secure Authentication dává administrátorům další možnosti, jak dvoufázovou autentizaci nasadit ve vašem prostředí ještě jednodušeji.

Podařilo se nám zachytit nástroj, jehož oficiální funkcí mělo být překládání textu. Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla v průběhu času opět tzv. ztrojanizována. To znamená, že se po některé z jejich aktualizací stal z aplikace World Translator trojský kůň, který umožňuje útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah, což se také dělo.

Celý scénář je totožný s podvodnou aplikací QRecorder či Blockers call 2019.