ESET: Kybernetičtí útočníci před koncem roku zintenzivňují své aktivity v Česku

V říjnu oproti předchozímu měsíci opět vzrostl počet případů infostealeru Formbook v Česku. Rostla však také aktivita ostatních škodlivých kódů, které bezpečnostní specialisté v České republice dlouhodobě pozorují. Říjen tak byl podle jejich analýzy měsícem, ve kterém opět převládaly cílené útoky na české uživatele a uživatelky.

„V říjnu jsme u infostealeru Formbook pozorovali následující vzorec – nejvíce škodlivé aktivity jsme monitorovali vždy v pondělí, což naznačuje, že útočníci posílali škodlivé e-maily s infikovanými přílohami vždy o víkendu a zaměřili se tak především na lidi pracující s počítačem,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Nejedná se přitom o nijak novou strategii. S blížícím se koncem roku útočníci počítají s tím, že zaměstnanci budou dostávat větší objem elektronické pošty a v okamžiku nepozornosti či ve spěchu mohou nechtěně otevřít infikovaný soubor. A i tentokrát se snažili své oběti napálit tím, že e-maily vydávali za poptávky po produktech firmy.“

Útočníci škodlivý kód Formbook schovávali nejčastěji pod soubor s názvem „msedge_elf.dll“. V těle e mailu, kde se tentokrát často objevovala čeština, se dle bezpečnostních analytiků objevovaly gramatické chyby. Právě chyby a nestandardní tón komunikace je spolehlivým ukazatelem toho, že s komunikací nemusí být vše v pořádku.

Útok v češtině zvyšuje šanci na úspěch
Také v případě dalších nejčastěji detekovaných škodlivých kódů – trojského koně Rescoms či infostealeru Agent Tesla – nebyla čeština výjimkou. Malware Rescoms se kromě přílohy s názvem „SDC34108.75.bat“ objevil také v příloze „OBJEDNAVKA_34002174.bat“. Ještě výmluvnější pak byl předmět e-mailu „OBJEDNÁVKA K FAKTUŘE“.

„Ani v případě trojského koně Rescoms nenechali útočníci tentokrát nic náhodě a vsadili na češtinu. Jak jsme již upozorňovali minulý měsíc, aktuálně v Česku sledujeme nárůst případů tohoto škodlivého kódu a platilo to rozhodně i pro říjen. Účel trojského koně Rescoms je podobný jako v případě infostealerů – útočníci jej využívají k narušení našeho soukromí a odcizení osobních údajů. Může být ale součástí i složitějších útoků. Jedná se o aplikaci určenou ke vzdálené správě počítače, kterou v současných kampaních útočníci vydávají za software ke vzdálené správě systému Windows,“ vysvětluje Jirkal.

V případě infostealeru Agent Tesla pak bezpečnostní experti mluví o opětovném využívání starých kampaní z minulosti. Aktivní vývoj tohoto škodlivého kódu jeho autor totiž ukončil. Nejčastěji se v říjnu objevoval v e-mailových přílohách „RFQ - U1058 New Materials Order B13D60.scr“ či pro Česko určených verzích „Poptavka 00413_pdf.exe“ nebo „Zpusob_platby,jpg.exe“.

Zůstaňte v bezpečí i v intenzivním závěru roku
Jak bezpečnostní specialisté upozorňují, závěr roku bývá vždy s ohledem na všudypřítomný shon pro kyberzločince ideální. Jako vždy doporučují především kombinovat ostražitost a zdravou podezíravost s profesionální kyberbezpečnostní ochranou.

„Na říjnových případech útoků infostealeru Formbook jsme mohli vidět, že i v době, kdy už mají útočníci k ruce řadu nástrojů generativní umělé inteligence, mohou stále připravit komunikaci, která bude obsahovat řadu chyb. Může se to stávat v případech, kdy nechtějí trávit přípravou útoků příliš mnoho času a rychle zacílit na co nejširší skupinu lidí. I přes to bych obecně doporučoval se na chyby příliš nespoléhat a všímat si dalších ukazatelů – kdo je odesílatelem zprávy, zda e-mail přišel bez vyžádání nebo v návaznosti na předchozí komunikaci či zda sedí e-mailová adresa s oficiální doménou webu, pokud se jedná například o nějakou známou instituci či firmu. Víme, že se tato rada může zdát málo platná s ohledem na to, jak býváme na konci roku všichni vytížení, opravdu se ale vyplácí zpomalit a věnovat příchozí e-mailové komunikaci dost času na kontrolu,“ doporučuje Jirkal z ESETu.

Spolehlivou pojistkou před nechtěným otevřením škodlivé přílohy a vpuštěním škodlivého kódu do zařízení je bezpečnostní software. Dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a pak jej smazat. Součástí aktualizované platformy ESET PROTECT pro firemní zákazníky z letošního jara je proto také nová ochrana proti spoofingu a útokům využívajícím homoglyfy. Nově je součástí stávajícího řešení ESET Cloud Office Security (ECOS). To navíc také obsahuje funkci zpětného stažení e mailů, která umožňuje rychle odvolat a umístit do karantény jakékoli doručené e-maily, které vyhodnotí jako podezřelé.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za říjen 2025:

1. Win32/Formbook trojan (27,77 %)
2. Win32/Rescoms trojan (15,32 %)
3. MSIL/Spy.AgentTesla trojan (4,59 %)
4. PowerShell/Agent.DIC trojan (4,55 %)
5. MSIL/XWorm trojan (2,76 %)
6. MSIL/Spy.SnakeStealer trojan (2,24 %)
7. VBS/Agent.QMG trojan (2,16 %)
8. MSIL/Spy.Agent.AES trojan (1,34 %)
9. Win32/Spy.VB.OLN trojan (1,11 %)
10. Win32/PSW.Fareit trojan (1,02 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni

Zdroj: eset.cz