Falešný ESET se rozhodl okrádat Ukrajince pomocí trojského koně, který nejde odinstalovat a podvodníkům umožní přístup do PC
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Podvodný slovenský ESET nabádá uživatele ke stažení falešné aplikace. Místo ochrany si však lidé do počítače pustí trojského koně, který umožní přístup útočníkům.
V poslední době se rozšířila phishingová kampaň, která zneužívá jméno společnosti ESET. Útočníci rozesílají e-maily i zprávy s informací, že je počítač uživatele v ohrožení a musí k jeho ochraně stáhnout speciální program. Redakce Mobify zaznamenala, že se útoky zaměřují hlavně na ukrajinské uživatele. Ve skutečnosti si však nainstalují trojského koně, který podvodníkům zpřístupní jejich počítač.
Instalační program pro „ochranu“ obsahuje malware
Kampaň, která se za poslední měsíce rozjela, se nazývá InedibleOchotense a dle odborníků souvisí s Ruskem. Falešné zprávy se schovávají za oficiální varování od ESETu a obsahují odkazy na domény jako „esetsmart[.]com“ či „esetscanner[.]com“. Uživatele varují, že je jejich počítač ohrožen a je potřeba nainstalovat pomocný program.
Po kliknutí se uživatel dostane na stránku s údajným „instalačním programem“, který by měl pomoci počítač ochránit. Ten sice obsahuje část legitimního softwaru ESET AV Remover, ale zároveň nainstaluje do PC škodlivý kód s názvem Kalambur alias jednoduše řečeno zrádného trojského koně.
Tento program dokáže navázat spojení přes anonymní síť Tor a otevřít vzdálený přístup (RDP) do napadeného počítače. Útočníci pak mohou systém bez problémů ovládat, přistupovat k veškerým souborům, sledovat jakoukoli činnost uživatele nebo instalovat další škodlivý malware.
Spoléhají na důvěru lidí ve značku antiviru
Podvodníci v tomto případě sází na to, že lidé ESETu zkrátka důvěřují. Kampaň je proto velmi přesvědčivá. Nicméně sám ESET poukázal na drobné chyby ve zprávách, například směs ukrajinštiny a ruštiny, což ale běžný uživatel snadno přehlédne.
Z bezpečnostních analýz vyplývá, že tato aktivita navazuje na dříve známé hackerské skupiny napojené na ruské zpravodajské služby, třeba tzv. Sandworm nebo UAC-0212. Tyto skupiny už dlouhou dobu útočí na různé ukrajinské organizace, univerzity, dokonce i vládní instituce.
Malware umožní podvodníkům přístup do PC
Kalamburu se jinak přezdívá backdoor (ve volném českém překladu zadní vrátka). Je to program, který útočníkovi zajistí trvalý přístup k systému. Dokáže blokovat bezpečnostní služby, upravovat registr Windows a bránit uživateli v odstranění programu. Některé varianty také ukládají stisknuté klávesy, monitorují síťovou aktivitu, nebo přeposílají data přes vzdálené servery.
Podle expertů se tento malware používá od jara 2025 a jeho šíření je stále aktivní. Napadení uživatelé často vůbec neví, že se jim v PC něco děje. Systém se chová normálně, zatímco útočníci získávají přístup k citlivým datům.
Není od věci vědět, jak se co nejlépe chránit
Je potřeba vědět, jak se co nejlépe chránit, protože podobné kampaně mohou klidně brzy zasáhnout i další státy nebo regiony. Ochrana spočívá především v opatrnosti:
- Nestahujte software z e-mailových odkazů, i když vypadají v pořádku.
- Ověřujte doménu odesílatele. Byť rozdíl v písmenu může znamenat podvod.
- Aktualizujte systém i antivir přímo z oficiálních stránek.
- Používejte vícefázové ověření a sledujte podezřelé procesy v systému.
Podle našeho názoru by si v dnešní době měli už uživatelé zvyknout, že ověřovat každý e-mail a nepodceňovat ani drobné nesrovnalosti se vyplácí.
Zdroje
Autorský komentář Lukáše Altmana