Tváří se jako zcela legitimní software, ale potají stahuje do PC trojské koně

Lukáš Altman
Lukáš Altman
Profil autora
755 článků

Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.

Na první pohled běžný software, který znáte a možná i denně používáte. Ve skutečnosti však může ukrývat škodlivý kód a udělat z vašeho počítače nástroj kyberzločinců.

Internetový prohlížeč na PC s Windows

Stahování softwaru z internetu je pro většinu uživatelů rutinou, čehož ale právě útočníci zneužívají, jak redakce Mobify zaznamenala. Nebezpečné jsou ty útoky, při nichž se snaží škodlivé programy zamaskovat jako známé a důvěryhodné aplikace pro Windows. Jenže po stažení do PC začnou samy stahovat trojského koně a další malwary.

Program je „nosičem“ s velkou variabilitou

Za aktuálními kampaněmi stojí sofistikovaný balicí program označovaný jako pkr_mtsi. Nejde o klasický virus, ale o takový univerzální „nosič“, který má sloužit k doručování různých druhů malwaru. Poprvé byl zaznamenán na jaře roku 2025 a od té doby se stále aktivně vyvíjí, popisuje CyberSecurityNews.

Pro kyberzločince je jeho hlavní výhodou neskutečná flexibilita. Jednou může do systému nainstalovat spyware, jindy zase nástroj na krádež hesel nebo trojského koně, jenž do počítače otevře zadní vrátka a umožní vzdálené ovládání počítače (tzv. RAT alias Remote Access Trojan, uvádí Wikipedia).

Útočníci cílí na oblíbené nástroje uživatelů, jako jsou PuTTY, Rufus nebo Microsoft Teams. Nevkládají škodlivý kód do oficiálních verzí, ale vytváří věrné napodobeniny. Tyto falešné programy se často zobrazují ve vyhledávačích vysoko díky technice zvané SEO poisoning, což je zneužití optimalizace pro vyhledávače, vysvětluje AntiHacker.

Uživatel si myslí, že stahuje běžný instalátor. Nicméně ve skutečnosti si do počítače pouští soubor, který v pozadí začne připravovat prostředí pro další infekci.

Rozdělení na kousky ztěžuje jeho odhalení

Pkr_mtsi pracuje po etapách. Nejprve si připraví paměť počítače, do které postupně skládá další části kódu. Ty jsou rozdělené na malé části, aby je antivirové programy hůře rozpoznaly. Následně stáhne a spustí skutečný malware, například Vidar (ke krádeži přihlašovacích údajů), Oyster nebo další odnože zaměřené na finanční data.

Z pohledu běžného uživatele se často neděje nic podivného. Program se nainstaluje, někdy ani nespustí, ale škoda už je napáchána, což ale dotyčný netuší. Za nás je velký problém, jak rychlý vývoj tohoto programu je. Neustále mění techniky krytí a záměrně komplikuje analýzu. Některé antiviry ho sice zachytí, jiné ale selhávají. Ochrana vyžaduje důslednost:

  • Stahujte softwary výhradně z oficiálních webů
  • Kontrolujte adresu stránky, ne jen její design
  • Používejte aktualizovaný bezpečnostní software
  • Buďte opatrní u „sponzorovaných“ výsledků ve vyhledávačích

Zdroje

Autorský komentář Lukáše Altmana

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.