ESET: Vrátil se škodlivý kód Agent Tesla, v srpnu předcházel masivnímu útoku na naše data

Podobně jako v předchozím měsíci, i v srpnu útočníci využili k šíření infostealeru Formbook malware Agent.ECK. Strategii, ve které si na pomoc vezmou další škodlivé kódy, zapojili v případě aktuálně nejaktivnějšího infostealeru v Česku již několikátý měsíc po sobě.

"Velmi silnou útočnou kampaň jsme tentokrát pozorovali již na začátku minulého měsíce, tedy 5. srpna. V tomto hlavním útoku se objevovaly infikované e-mailové přílohy, kterými se infostealer dlouhodobě šíří do našich e-mailových schránek, pouze s názvy v angličtině. V samotném e-mailu bylo minimum textu. Na konci srpna se však opět objevily e-mailové přílohy s názvy v češtině. Útočníci stále zkoušejí to samé – svým obětem zasílají domnělé účtenky a potvrzení o platbách. Cílem jsou naše data a přihlašovací údaje, která lze dobře zpeněžit na černém trhu a využít v přípravě dalších útoků," říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

Velký návrat sledovali bezpečnostní experti v srpnu u infostealeru Agent Tesla. Tento škodlivý kód patřil v několika uplynulých letech k předním zbraním hackerů nejen v útocích na Českou republiku. Autoři tohoto škodlivého kódu však na konci loňského roku oznámili ukončení jeho vývoje a postupně jej začal nahrazovat jiný malware, například již zmíněný Formbook.

"Ačkoli se infostealer Agent Tesla vrátil na přední místa naší pravidelné statistiky pro operační systém Windows v Česku, jedná se stále o historickou verzi útoku, nikoli o nový typ. Většina kvalitních a moderních bezpečnostních řešení by si s ním tak měla poradit," vysvětluje Jirkal a dodává: "Jak jsme nicméně při bližší analýze odhalili, útoky s použitím infostealeru Agent Tesla probíhaly těsně před velkými útoky infostealeru Formbook na začátku srpna. Pak proběhlo ještě několik útoků vždy na začátku jednotlivých srpnových týdnů, a po nich vždy následovaly, i když už méně silné, útoky infostealerem Formbook. Domníváme se tak, že útočné kampaně mohly být vzájemně propojeny a že za nimi stála jedna útočná skupina."

Nevěřte všemu, co v e-mailu vidíte
Zatímco v červenci zůstali útočníci hlavně u angličtiny, v srpnu už začali opět zapojovat české překlady názvů e-mailových příloh. Na infostealer Formbook jsme mohli v srpnu narazit například v přílohách "FULL - TG 517.exe" v e-mailech s předmětem "Additional DOCUMENTS BOOKING". V menší míře se pak objevovaly přílohy s názvy "Účtenka.exe" s předmětem e-mailu "Toto je potvrzení o platbě za fakturu 73936 zaplacenou dne 28.10.2021". V případě infostealeru Agent Tesla se mohli lidé v Česku setkat s přílohami s názvy "RFQ_AUGUST 254524_PDF.exe" či "Your Leave_For Mid Year_Till _Decembre 2025 JPG.exe". Infostealer SnakeStealer se nejvíce ukrýval v přílohách "Statement of Account 2025.zip" nebo "kopie platby09886673.exe".

"Riziko, že nechtěně otevřeme škodlivou přílohu, může být poměrně veliké, i když si třeba říkáme, že dáváme pozor. Zvlášť to třeba hrozí v případě, že očekáváme větší množství zásilek, nebo denně odbavíme velké množství e-mailů obchodního charakteru. Řada těchto příloh se navíc tváří neškodně, jako soubory MS Office, PDF nebo obrázky. Příloha upozorňující na spustitelný podezřelý soubor, tedy .exe, nemusí být na první pohled v dlouhém názvu viditelná. S ohledem na přetrvávající přítomnost infostealerů v našem regionu doporučujeme maximální obezřetnost a zvážit i profesionální ochranu našich dat," doplňuje Martin Jirkal z ESETu.

Spolehlivou pojistkou před nechtěným otevřením škodlivé přílohy a vpuštěním škodlivého kódu do zařízení je bezpečnostní software. Moderní řešení dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu v e-mailu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a následně jej smazat.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za srpen 2025:

1. Win32/Formbook trojan (30,59 %)
2. MSIL/Spy.AgentTesla trojan (8,15 %)
3. MSIL/Spy.Agent.AES trojan (6,90 %)
4. VBS/Agent.TKB trojan (2,60 %)
5. Win32/Rescoms trojan (2,45 %)
6. QRCode/Phishing trojan (1,44 %)
7. Win64/Expiro virus (1,33 %)
8. Win32/Spy.VB.OLS trojan (1,28 %)
9. PowerShell/Agent.DCV trojan (1,10 %)
10. Win32/PSW.Fareit trojan (1,04 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.

Zdroj: eset.cz