ESET: Cílem trojského koně CloudEye bylo v listopadu Česko, stál za čtvrtinou detekcí pro operační systém Windows

Podle bezpečnostních expertů z ESETu začíná trojský kůň CloudEye pomalu získávat mezi útočníky celosvětovou popularitu. Jak upozorňují, dříve evidovali tento škodlivý kód pod označením GuLoader, před kterým ESET varoval například na jaře roku 2023. V letošním listopadu byl v Česku detekován ve větších kampaních hned dvakrát – nejdříve jako škodlivý kód Agent.QMG a podruhé jako CloudEye. Jedná se o stejný malware, který pod různými verzemi útočníci zkoušeli doručit nebezpečnými e-maily do zařízení obětí.

"Škodlivý kód, který označujeme jako CloudEye, není v Česku novinkou. V takové míře jsme jej ale nějakou dobu v našem prostředí neviděli. Za listopad jeho detekce povyskočily téměř na čtvrtinu všech případů škodlivých kódů pro operační systém Windows," říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. "Přítomnost tohoto škodlivého kódu v Česku není dobrou zprávou. Opět nám to ukazuje, že útočníci chtějí aktuální období před koncem roku maximálně vytěžit ve svůj prospěch. Jedná se o velmi sofistikovaný malware, který je přizpůsobený k tomu, aby nešel tak snadno analyzovat. Jeho primární funkcí je stahovat do zařízení další škodlivé kódy. V Česku to vždy byly hlavně infostealery Agent Tesla a Formbook, které se v listopadu také objevily na předních místech naší statistiky,” doplňuje Jirkal.

Stejně jako v předchozích měsících si útočníci vybrali po sobě dva jdoucí týdny, ve kterých se plně soustředili na šíření malwaru CloudEye. Útoky byly přizpůsobeny českým uživatelům a uživatelkám. Nejčastěji jsme mohli na tento malware narazit při spuštění e-mailové přílohy "PO_54333677011_678978687_Žádná recenze.vbs". Samotný e-mail pak útočníci vydávali za shrnutí objednávky. Dále se objevovaly také přílohy "Zmluva-pdf.js" či "NV11036587-, Predpis_pojistne_smlouvy_c_3268222706.bat".

Ačkoli se v tuto chvíli jedná o jiný škodlivý kód, než je standardně infostealer Formbook, obrana zůstává dle kyberbezpečnostních expertů stejná – kromě využívání kvalitního bezpečnostního programu je důležitá také preventivní ostražitost při práci s elektronickou poštou. Lidé by dle nich měli již dopředu počítat s tím, že se v jejich e-mailové schránce může objevit nebezpečná zpráva a v nevyžádané komunikaci by nikdy neměli stahovat a spouštět přílohy nebo klikat na odkazy.

Znepokojivá aktivita infostealeru Agent Tesla
Zatímco také u infostealeru Agent Tesla zaznamenali experti z ESETu znepokojivý nárůst počtu detekcí, významnější propad pak evidovali u infostealeru Formbook. Kampaně těchto škodlivých kódů nebyly tentokrát cílené přímo na Česko.

"Vysoký počet detekcí v případě infostealeru Agent Tesla není dobrou zprávou. Útočníkům se evidentně stále vyplácí využívat staré verze tohoto škodlivého kódu a více než 15procentní podíl detekcí to v tomto případě dokládá. Většina bezpečnostních řešení by měla být na tento škodlivý kód již perfektně připravená a varovným ukazatelem je tak skutečnost, že takový malware může být úspěšný jen na špatně chráněných a neaktualizovaných počítačích. Vypadá to, že nás v oblasti počítačové bezpečnosti čeká v Česku ještě spousta práce," připomíná Jirkal.

Podle bezpečnostních expertů je v případě infostealerů důležitá ochrana v podobě profesionálního bezpečnostního softwaru. Ten dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a pak jej smazat. Bezpečnostní experti pak upozorňují ještě na pravidelné aktualizace softwaru a všech programů v našich zařízeních, které jako uživatelé leckdy odkládáme.

"Určitě to velmi dobře znáte, systém vám ohlásí potřebu aktualizace s nutným restartováním počítače, vy máte zrovna něco rozdělaného, tak to odložíte a mnohdy na to možná zapomenete. Právě ale aktualizovaný operační systém je v přístupu k bezpečnosti našich zařízení, dat a přihlašovacích údajů, které jsou kořistí infostealerů především, naprosto klíčové. Aktuálně se jedná o velkou výzvu především v souvislosti s ukončením podpory operačního systému Windows 10, který podle našeho posledního průzkumu stále využívá zhruba třetina lidí. Ačkoli uživatelé a uživatelky dostali možnost si podporu o rok prodloužit, určitě bych doporučoval provést upgrade na vyšší verzi co nejdříve, protože kybernetické hrozby rozhodně nepočkají a jak vidíme, útočníci udělají všechno proto, aby svoje zbraně přizpůsobili," dodává Jirkal z ESETu.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za listopad 2025:

1. PowerShell/CloudEye trojan (24 %)
2. MSIL/Spy.AgentTesla trojan (15, 42 %)
3. Win32/Formbook trojan (13, 89 %)
4. VBS/Agent.TEM trojan (4, 34 %)
5. PowerShell/Agent.DNC trojan (2, 66 %)
6. MSIL/XWorm trojan (1, 75 %)
7. MSIL/Spy.Agent.AES trojan (1, 08 %)
8. MSIL/Spy.SnakeStealer trojan (0, 88 %)
9. Win32/Spy.VB.OLN trojan (0, 73 %)
10. VBS/Agent.TGD trojan (0, 71 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.

Zdroj: eset.cz