ESET: V září se na scénu vrátil trojský kůň, který útočníci vydávají za nástroj vzdálené správy pro Windows

V září bezpečnostní experti z ESETu sledovali změny v pravidelné statistice kyberhrozeb pro operační systém Windows v Česku. Zatímco ještě v srpnu výrazně vzrostla aktivita nechvalně proslulého infostealeru Agent Tesla, poslední analýza opět potvrzuje, že se jednalo pravděpodobně jen o jednorázovou kampaň díky stále dostupným starším verzím tohoto škodlivého kódu.

Ačkoli kyberhrozbám nadále kraluje infostealer Formbook, v září nezopakoval silnější kampaně z konce letošního léta. Nejvíce se objevoval maskovaný za downloader Win64/Agent.ECK a ukrytý v nebezpečné e-mailové příloze s anglickým názvem "shipping documents.exe". Útočníci jej tak nadále šíří pomocí dalších škodlivých kódů.

Po delší pauze se ve větším zastoupení objevil také škodlivý kód Rescoms. Útočníci jej šířili prostřednictvím downloaderu s názvem BAT/Agent.RMJ. Na potenciální oběti opět vyslali škodlivé e-maily a nebezpečný kód nastražili pod přílohu "OBJEDNAVKA_34002174.bat".

"V posledních týdnech pozorujeme u malwaru Rescoms nárůst případů. V České republice je to konkrétně zhruba od poloviny září. Stále provádíme detailnější analýzy, nicméně může za tím být i změna nákupního chování útočníků na černém trhu. I díky zásahu proti malware rodině Lumma Stealer klesla poptávka po této hrozbě a útočníci mohou zkrátka hledat nové, vhodnější nástroje," říká Jirkal a dodává: "Trojský kůň Rescoms, který je známý i pod názvem Remcos, je aplikace pro vzdálenou správu počítače, kterou útočníci již řadu let otevřeně zneužívají. Je to malware s celou řadou funkcí k odcizení dat a odposlechu obětí. S ohledem na tuto přítomnost infostealerů, downloaderů a trojských koní v našem prostoru je na místě opět připomenout, aby uživatelé a uživatelky kyberútočníky nepodceňovali, i když se může na první pohled zdát, že je situace stále stejná."

Útoky na naše soukromí
Škodlivý kód zaměřený na krádež dat je bohužel jednou z nevětších hrozeb, které v současnosti lidé v Česku čelí. Na náš region se střídavě zaměřují globální i cílené spamové kampaně, ve kterých útočníci šíří malware v e-mailech s nebezpečnými přílohami odkazujícími na domnělé doklady objednávek, účtenky a faktury. Podle bezpečnostních expertů jsou v ohrožení jak uživatelé a uživatelky z řad široké veřejnosti, tak lidé z firem, kteří s podobnými dokumenty každý den pracují a ve spěchu si nebezpečí nemusí hned všimnout.

"Trojského koně Rescoms útočníci využívají k narušení našeho soukromí a odcizení osobních údajů – podobně, jako například infostealer Formbook. Mimo spamové kampaně může být součástí i složitějších útoků. Na internetu jej můžeme potkat jako komerční nástroj, který útočníci vydávají za software ke vzdálené správě systému Windows," říká Jirkal. "Dobře víme, že útočníci investují do přípravy svých kampaní nemalé prostředky a věnují čas strategii. V posledních týdnech je velkým tématem konec podpory pro verzi operačního systému Windows 10 a jak ukázal náš nejnovější průzkum, někteří uživatelé nemusí být v tomto tématu tak dobře zorientovaní a informovaní. Může tak být snadné je oklamat lživou komunikací zneužívající známou službu. V celkové situaci tak můžeme ve spěchu a nepozornosti kliknout na soubory, které působí věrohodně a na první pohled nám obdržená zpráva slibuje pomoc s nějakým procesem či úkolem. Ve skutečnosti je to ale malware, který nás má poškodit," dodává Jirkal.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za září 2025:

1. Win32/Formbook trojan (15,95 %)
2. PowerShell/Agent.DIC trojan (12,30 %)
3. Win32/Rescoms trojan (9,87 %)
4. VBS/Agent.TKB trojan (6,95 %)
5. MSIL/Spy.AgentTesla trojan (3,37 %)
6. PowerShell/Agent.DDW trojan (3,06 %)
7. MSIL/Spy.SnakeStealer trojan (2,62 %)
8. MSIL/Agent.DWN trojan (1,92 %)
9. Win32/Spy.VB.OLN trojan (1,74 %)
10. MSIL/Spy.Agent.DRY trojan (1,53 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.

Zdroj: eset.cz