Kromě malwaru CloudEyE, který zůstal v dubnu největší kyberhrozbou pro operační systém Windows v Česku, na sebe upozornily i downloadery. Útočníci je využívají ve vícestupňových útocích.
Podle bezpečnostních expertů byl duben měsícem, ve kterém byly v Česku výrazněji aktivní škodlivé kódy typu downloader. Jejich funkcí je stahovat do zařízení další malware.
V čele pravidelného monitoringu pro operační systém Windows přesto zůstal malware CloudEyE. I tento škodlivý kód útočníci využívají k tomu, aby jeho prostřednictvím do zařízení stáhli další hrozby. Bezpečnostní experti ve světle posledního přehledu kybernetických hrozeb poukazují na proměnu chování kyberútočníků: stále častěji volí malware, který funguje jako prostředník útoku, dokáže hlavní škodlivý kód skrýt a lze jej pořídit na černém trhu.
CloudEyE: jednička mezi kyberhrozbami v Česku
Malware CloudEyE, škodlivý kód typu loader, se v dubnu objevoval v pětině všech zachycených případů škodlivého kódu pro operační systém Windows v České republice. Jeho aktivita sice byla při srovnání s předchozím měsícem zhruba poloviční, je to ale hrozba číslo jedna v našem regionu.
V dubnu se útoky vyznačovaly velmi zdařilými překlady do češtiny – i CloudEyE se totiž šíří prostřednictvím škodlivých e-mailů a příloh, které útočníci vydávají za různé oficiální dokumenty. Tuto strategii dobře známe od infostealerů. Právě tyto škodlivé kódy, ať už se bavíme o infostealerech Agent Tesla, Formbook nebo SnakeStealer, bývají velmi často malwarem, který CloudEyE pomůže dostat do cílového zařízení a spustit jej.
Nebezpečnými přílohami e-mailů v případě malwaru CloudEyE byly v dubnu především „31032026001836.js“ a „Vyuctovani_40667838_2604˙pdf.bat“. V názvu druhého příkladu škodlivé přílohy bezpečnostní experti poukazují na praktiku útočníků, kdy před příponou pdf použijí speciální znak, aby přílohu nezachytily nástroje, které hledají kybernetické hrozby s příponami .pdf.bat a další možné kombinace, jako .doc.exe apod.
Nezmeškejte nic důležitého
Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.
ODEBÍRAT NOVINKYDownloadery jsou první fází, následně plní příkazy
Jakmile se downloader dostane do zařízení, stáhne škodlivý obsah z internetu dle zadání útočníka. Zachycené downloadery Agent.UIN i Agent.UHW jsou sice dva rozdílné škodlivé kódy, v dubnových útocích se nicméně chovaly velmi podobně. Útoky probíhaly na rozdíl od malwaru CloudEyE v angličtině. Útočníci tyto škodlivé kódy opět distribuovali ve škodlivých přílohách e-mailů, které vydávali za doklady k nákupům a objednávkám.
„Oba škodlivé kódy následně stahovaly malware napsaný v programovacím jazyce C#. Na základě této skutečnosti a dalších závěrů z analýzy to vypadá, že hlavním cílem bylo nakazit počítače obětí opět infostealery,“ říká Martin Jirkal z ESETu.
V případě downloaderu Agent.UIN se v útočných e-mailech objevovala nebezpečná příloha s názvem „PO-HTSS_0410026_pdf.js.“ U downloaderu Agent.UHW pak šlo především o přílohu „Purchase Order -April -7000137799809909027366600220091100553_pdf.js“.
Byznys na černém trhu
Podle bezpečnostních expertů mohou stát za proměnami útočných strategií také aktuální trendy na černém trhu. Útočníci totiž hledají formy monetizace svých služeb podobně, jako to známe u standardních obchodních modelů. Právě v kontextu fungování dark webu bezpečnostní experti varují, že malware může být v současnosti dostupnější i pro méně technicky zdatné útočníky a objem kybernetických útoků tak může být vyšší.
Dark web neboli temný web je součástí tzv. deep webu, který je opakem internetu, který známe z každodenního používání. K jeho prohlížení budete potřebovat speciální prohlížeč a znát přesnou adresu stránky, kterou chcete navštívit. Na dark webu často končí ukradené přihlašovací údaje a další citlivá data uživatelů. Obchoduje se tam i s různými škodlivými kódy, které jejich autoři nabízejí formou služby. Více v článku: Největší hrozby a příležitosti dark webu
V otázkách obrany opět platí to samé – maximální ochrana a bezpečná správa přihlašovacích údajů, a to především hesel, k jejichž krádeži útočníci právě infostealery využívají. Seznam míst, ze kterých může útok přijít, se stále rozrůstá, a to také díky stále zdařilejším formám phishingu nebo dalším technikám sociálního inženýrství.
„Nikdy byste neměli svá hesla opakovaně používat pro více různých účtů. Heslo bych pak doporučil doplnit také vícefázovým ověřením. I kdyby heslo přesto útočníkům padlo do rukou, vícefázové ověření jim převzetí účtu výrazně ztíží,“ dodává Martin Jirkal z ESETu.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2026:
- PowerShell/CloudEyE trojan (21,51 %)
- JS/Agent.UIN trojan (8,24 %)
- JS/Agent.UHW trojan (8,12 %)
- BAT/Agent.SBM trojan (7,24 %)
- JS/Agent.RIB trojan (4,25 %)
- MSIL/Spy.SnakeStealer trojan (4,11 %)
- Win64/Aotera trojan (3,19 %)
- MSIL/Spy.AgentTesla trojan (3,12 %)
- MSIL/XWorm trojan (2,71 %)
- JS/Agent.UGF trojan (2,23 %)
Uživatelé řešení ESET jsou před těmito hrozbami chráněni.
ESET PROTECT
Naše řešení jsou v testech trvale hodnocena jako nejlepší v přesné diagnostice hrozeb.
DOZVĚDĚT SE VÍCE
