Infostealer Formbook a malware Agent.CLE měly v červnové statistice téměř shodný podíl detekcí v rámci všech zachycených škodlivých kódů pro operační systém Windows v Česku. Již v květnu bezpečnostní experti upozornili na to, že útočné kampaně těchto dvou škodlivých kódů spolu mohou souviset a vyloučené to podle nich není ani tentokrát.
"Nemáme sice přímý důkaz, že útočníci v červnu využili malware Agent.CLE k tomu, aby připravili napadený počítač pro infekci infostealerem Formbook, jisté ukazatele tomu ale nasvědčují. Nejsilnější aktivita malwaru Agent.CLE připadla na 12. a 19. června. V dané dny jsme pozorovali zároveň také zvýšenou aktivitu škodlivého kódu Formbook. Útočníci si navíc opět dali mezi jednotlivými kampaněmi týden přestávku. Předpokládáme proto, že se znovu opakoval stejný vzorec z letošního května," vysvětluje vývoj kyberhrozeb Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.
Zatímco spamové kampaně malwaru Agent.CLE byly přeložené do češtiny, přímé útoky infostealeru Formbook byly vedeny v angličtině. Malware Agent.CLE útočníci schovávali pod přílohy, které se tvářily jako objednávky – "Objednavka_2928.bat" či "Gufero-612025_pdf.cmd". Na infostealer Formbook mohli pak uživatelé a uživatelky narazit především v příloze s názvem "MT103-17463829584.exe".
"Útoky v češtině byly tentokrát opravdu velmi dobře připravené. V minulosti, když se kyberútočníci rozhodli komunikovat česky, nás často na něco nekalého upozornila špatná úroveň češtiny, hrubky a stylistické přešlapy. V červnových útocích jsme ale na nic takového nenarazili. Je tak možné, že stále zlepšující se úroveň nástrojů umělé inteligence v tomto směru útočníkům s přípravou spamových kampaní pomáhá. Vyzval bych proto k co největší opatrnosti. Infostealery jsou velkým rizikem pro naše hesla k řadě důležitých účtů a v hledáčku útočníků jsou jak jednotlivci, tak zaměstnanci firem. Rozhodně je proto důležité neklikat bez rozmyslu na odkazy ani neotevírat soubory v předem nevyžádaných zprávách. Právě v letních měsících, kdy se lidé po dovolené vrátí do kanceláře a budou procházet doručené e-maily, může být riziko vyšší," dodává Jirkal.
Zrádné přípony nebezpečných příloh
Spamové kampaně v Česku jsou dlouhodobě specifické tím, jak útočníci maskují škodlivý kód za různé přílohy e-mailů. Při bližším pohledu lze vidět, že příloha může mít rovnou příponu, která označuje spustitelný soubor (například .exe nebo .bat). Dokumenty v přílohách mohou mít ale také dvě koncovky, přičemž tu druhou z nich, která by na škodlivou aktivitu upozornila, uživatelé nemusí vždy vidět.
"Příloha se ve velkém počtu případů může jevit jako dokument v programu MS Word, ve formátu PDF nebo jako obrázek. Uživatelé pak nemusí mít vůbec podezření, že otevírají soubor, se kterým je něco špatně. Spolehlivou pojistkou před nechtěným otevřením škodlivé přílohy a vpuštěním škodlivého kódu do zařízení je bezpečnostní software. Dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a pak jej smazat. Infostealery jsou již pokročilou kybernetickou hrozbou a rozhodně bych je nepodceňoval. S našimi odcizenými daty a přihlašovacími údaji pak mohou útočníci obchodovat na dark webu nebo je využít k přípravě nových útoků," dodává Jirkal z ESETu.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červen 2025:
Uživatelé produktů ESET jsou před těmito hrozbami chráněni.
Zdroj: eset.cz