Desítky tisíc škodlivých e-mailů zasypaly v dubnu Česko

Počet případů infostealeru Formbook vzrostl v dubnu na více než třetinu všech zachycených detekcí v Česku. V první polovině měsíce útočníci připravili velké kampaně, kdy šířili škodlivý kód globálně prostřednictvím e‑mailů v angličtině. Během velikonočních svátků pak na Česko zacílila silná kampaň, ve které útočníci využili škodlivý program ModiLoader. Ten jim slouží k dalšímu šíření malwaru určenému ke krádežím informací či k získání vzdáleného přístupu k počítači – škodlivých kódů Rescoms a Agent.AES nebo již zmíněného infostealeru Formbook.

Škodlivý program ModiLoader je známou a stálou hrozbou nejen v České republice, většinou ale nefiguruje v masivních kampaních. Útok začal na Zelený čtvrtek. O tom, jak byla tato kampaň silná, svědčí i množství škodlivých e-mailů, které bezpečnostní experti zachytili – jejich počet se vyšplhal na desítky tisíc. Na Slovensko mířilo v tento den 41 % všech celosvětových útoků tohoto programu, na Českou republiku to bylo 30 %.

Velký skok v detekčních datech byl pak pozorovatelný i v úterý po Velikonocích. Pravděpodobným vysvětlením je to, že lidé, kteří se vraceli ze svátků zpět do práce k počítačům, otevírali mezi pracovními e-maily bohužel i ty škodlivé.

Prosba o potvrzení objednávky

E-mailové zprávy, které obsahovaly škodlivý program ModiLoader, informovaly příjemce o tom, že obdržel dokument se shrnutím objednávky, spolu s požadavkem na její potvrzení. Text zprávy byl napsaný v češtině bez gramatických a stylistických chyb, což opět potvrzuje, že byl útok cílený a pečlivě připravený. V příloze těchto e-mailů byl ModiLoader „schovaný“ v dokumentu s názvem „Objednavka.iso“. Pokud oběť soubor otevřela, zobrazil se soubor „Obejdnavka.cmd“, který po spuštění nakazil dané zařízení.

„Zachycený dubnový útok je názornou ukázkou toho, jak dnes útočníci podobné kampaně připravují. Svátky a období volna jsou pro ně dobrou příležitostí. Mohou zneužít toho, že máme naši pozornost nasměrovanou jinam – k našim dovoleným a volnočasovým aktivitám. Zasílání škodlivých kódů v e-mailech se jim bohužel stále velmi vyplácí,“ říká Martin Jirkal z ESETu.

V případě takto připravených útoků neexistuje obrana, která by byla úplně snadná a jednoduchá, přesto se ale uživatelé mohou bránit velice efektivně. Ideální je kombinace skepse a obezřetnosti spolu s využíváním profesionálního bezpečnostního softwaru, který dokáže spolehlivě reagovat na širokou škálu různých útoků, a to i v případě, kdy se jedná o zcela nové typy kybernetických hrozeb.

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Prodloužená ruka útočníků, která řídí další hrozby

Škodlivý program ModiLoader se obvykle šíří prostřednictvím phishingových kampaní. Ty mají v případě operačního systému Windows v Česku podobu zpráv o objednávkách s nebezpečnými přílohami, které útočníci vydávají za různé související dokumenty – faktury nebo shrnutí objednávek. ModiLoader po spuštění stáhne další škodlivé kódy (například infostealer Formbook) ze serveru útočníků, nebo jsou již distribuovány spolu s ním jako jeho součást. Následně škodlivý obsah dešifruje a poté spustí přímo z paměti napadeného počítače.

Kromě velké velikonoční kampaně se ModiLoader objevoval i v následujících dnech v jednom menším útoku. V obou případech jej ale útočníci pro šíření infostealeru Formbook, který byl také již součástí škodlivé přílohy. Jejich cílem tedy byla jako vždy naše uživatelská data, především hesla.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2025:

1. Win32/Formbook trojan (35,04 %)
2. MSIL/Spy.Agent.AES trojan (13,23 %)
3. Win32/Rescoms trojan (3,77 %)
4. MSIL/Spy.AgentTesla trojan (3,44 %)
5. Win64/Agent.ECK trojan (3,26 %)
6. VBS/Agent.SWW trojan (2,78 %)
7. PowerShell/Agent.CLE trojan (1,06 %)
8. Win64/Rozena trojan (1,05 %)
9. VBS/Agent.SXV trojan (0,97 %)
10. Win32/Expiro virus (0,86 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.