ESET: Útočníci si výrazně zlepšili češtinu, přesvědčivými e-maily v červnu opět nejvíc šířili infostealer Formbook

Infostealer Formbook a malware Agent.CLE měly v červnové statistice téměř shodný podíl detekcí v rámci všech zachycených škodlivých kódů pro operační systém Windows v Česku. Již v květnu bezpečnostní experti upozornili na to, že útočné kampaně těchto dvou škodlivých kódů spolu mohou souviset a vyloučené to podle nich není ani tentokrát.

"Nemáme sice přímý důkaz, že útočníci v červnu využili malware Agent.CLE k tomu, aby připravili napadený počítač pro infekci infostealerem Formbook, jisté ukazatele tomu ale nasvědčují. Nejsilnější aktivita malwaru Agent.CLE připadla na 12. a 19. června. V dané dny jsme pozorovali zároveň také zvýšenou aktivitu škodlivého kódu Formbook. Útočníci si navíc opět dali mezi jednotlivými kampaněmi týden přestávku. Předpokládáme proto, že se znovu opakoval stejný vzorec z letošního května," vysvětluje vývoj kyberhrozeb Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

Zatímco spamové kampaně malwaru Agent.CLE byly přeložené do češtiny, přímé útoky infostealeru Formbook byly vedeny v angličtině. Malware Agent.CLE útočníci schovávali pod přílohy, které se tvářily jako objednávky – "Objednavka_2928.bat" či "Gufero-612025_pdf.cmd". Na infostealer Formbook mohli pak uživatelé a uživatelky narazit především v příloze s názvem "MT103-17463829584.exe".

"Útoky v češtině byly tentokrát opravdu velmi dobře připravené. V minulosti, když se kyberútočníci rozhodli komunikovat česky, nás často na něco nekalého upozornila špatná úroveň češtiny, hrubky a stylistické přešlapy. V červnových útocích jsme ale na nic takového nenarazili. Je tak možné, že stále zlepšující se úroveň nástrojů umělé inteligence v tomto směru útočníkům s přípravou spamových kampaní pomáhá. Vyzval bych proto k co největší opatrnosti. Infostealery jsou velkým rizikem pro naše hesla k řadě důležitých účtů a v hledáčku útočníků jsou jak jednotlivci, tak zaměstnanci firem. Rozhodně je proto důležité neklikat bez rozmyslu na odkazy ani neotevírat soubory v předem nevyžádaných zprávách. Právě v letních měsících, kdy se lidé po dovolené vrátí do kanceláře a budou procházet doručené e-maily, může být riziko vyšší," dodává Jirkal.

Zrádné přípony nebezpečných příloh
Spamové kampaně v Česku jsou dlouhodobě specifické tím, jak útočníci maskují škodlivý kód za různé přílohy e-mailů. Při bližším pohledu lze vidět, že příloha může mít rovnou příponu, která označuje spustitelný soubor (například .exe nebo .bat). Dokumenty v přílohách mohou mít ale také dvě koncovky, přičemž tu druhou z nich, která by na škodlivou aktivitu upozornila, uživatelé nemusí vždy vidět.

"Příloha se ve velkém počtu případů může jevit jako dokument v programu MS Word, ve formátu PDF nebo jako obrázek. Uživatelé pak nemusí mít vůbec podezření, že otevírají soubor, se kterým je něco špatně. Spolehlivou pojistkou před nechtěným otevřením škodlivé přílohy a vpuštěním škodlivého kódu do zařízení je bezpečnostní software. Dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a pak jej smazat. Infostealery jsou již pokročilou kybernetickou hrozbou a rozhodně bych je nepodceňoval. S našimi odcizenými daty a přihlašovacími údaji pak mohou útočníci obchodovat na dark webu nebo je využít k přípravě nových útoků," dodává Jirkal z ESETu.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červen 2025:

1. Win32/Formbook trojan (22,05 %)
2. PowerShell/Agent.CLE trojan (18,89 %)
3. MSIL/Spy.Agent.AES trojan (5,11 %)
4. MSIL/Spy.AgentTesla trojan (4,90 %)
5. Win64/Agent.GFB.gen trojan (3,94 %)
6. Win64/Agent.ECK trojan (3,56 %)
7. Win32/Expiro virus (3,05 %)
8. VBS/Agent.TCT trojan (2,06 %)
9. VBS/Agent.QMG trojan (1,81 %)
10. BAT/Agent.QSN trojan (1,65 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Zdroj: eset.cz