Hackeři nakoupili na dark webu a pak zaútočili na Česko

8 min. čtení

19 / 06 / 2025

Analýza škodlivých kódů v Česku odhalila v květnu provázané spamové kampaně. Jejich cílem bylo zintenzivnit šíření infostealeru Formbook, kterého útočníci využívají ke krádežím hesel.

Na základě analýzy škodlivých kódů pro operační systém Windows bezpečnostní experti potvrdili, že Česká republika byla v květnu pod organizovaným útokem. V čele pravidelné statistiky se tentokrát objevily v současnosti spíše okrajové škodlivé kódy, které útočníci nakoupili na dark webu. Jedná se ve všech případech o malware, který dokáže stáhnout do zařízení další škodlivý kód – v případě České republiky především nechvalně proslulý infostealer Formbook, který je určený ke krádežím uživatelských dat, především hesel k našim účtům.

Česká republika se již v minulosti stávala cílem promyšlených spamových kampaní z dílny menšího počtu útočníků. Letošní květen byl ale unikátní tím, že zachycené útoky na sebe přesně navazovaly, byly vedeny v češtině a podle expertů vykazují jasné známky vzájemného propojení.

Útočníci chtěli zefektivnit šíření infostealeru Formbook

Všechny v květnu nejčastěji zastoupené škodlivé kódy mohou útočníci sehnat na černém trhu, tedy na dark webu. Jejich úkolem je stahovat do zařízení další malware. Ke stahování dalšího škodlivého obsahu docházelo v květnu ze serveru, odkud útočníci šíří také obávaný infostealer Formbook. Ten v květnu navíc vykazoval zvýšenou aktivitu přesně v časech zachycených spamových kampaní. S velkou pravděpodobností tak bylo hlavní snahou útočníků právě nasazení tohoto infostealeru.

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Že jde o konkrétní útok na Česku republiku, dokazují i e-maily v češtině včetně českých překladů příloh, které obsahovaly zmíněné škodlivé kódy. Uživatelé a uživatelky je v domnění, že otevírají přílohu s podrobnostmi o nějaké objednávce, vpustili do svých počítačů.

„Již v dubnu jsme zaznamenali desítky tisíc škodlivých e-mailů, které doslova zasypaly Česko. S ohledem na to, že se útočníkům evidentně vyplatí své útoky inovovat a věnovat jim další čas na vylepšení, by měli být čeští uživatelé a uživatelky nanejvýš opatrní při práci s e-maily a neklikat na odkazy ani neotevírat soubory přiložené v přílohách, pokud se jedná o nevyžádanou komunikaci. Spolehlivou ochranou před infostealery je pak vždy především bezpečnostní software,“ říká Martin Jirkal, vedoucí analytického týmu v pražském ESETu.

Tři škodlivé kódy a propracovaná strategie

Zmíněné útoky začaly 12. května. Útočníci použili škodlivý kód Agent.QMG a šířili jej podvodným e-mailem ve škodlivé příloze s názvem Objednavka_250197.vbs.

Konkrétně tento škodlivý kód se vyskytuje v Česku dlouhodobě. Jeho úkolem je především stahovat z internetové adresy do zařízení další malware. Podobně pak funguje i Agent.CLE, který převzal pomyslnou štafetu už 13. května. I v tomto případě útočníci zvolili prověřenou strategii a malware schovali do souboru, který vydávali za objednávku.

Po kratší přestávce, kterou pravděpodobně využili k přípravě, se útočníci vrátili 19. května, a to opět v útoku, který byl provázaný s těmi předešlými. Tentokrát použili škodlivý kód Agent.TAY. I tento malware měl shodné funkcionality se škodlivým kódem Agent.QMG. Podvodné e-mailové zprávy útočníci rozesílali stále v češtině, příloha však měla už jen obecnější označení POĠ_. 40715CZ25.vbs. Spolu s ním byl v tomto balíčku ukrytý i již zmíněný škodlivý kód Agent.CLE. Na závěr této série útočných kampaní, 20. května, pak útočníci ještě jednou přes e-mail rozšířili Agent.CLE v příloze s názvem Objednávka_omni-x05140001_pdf.bat.

Infostealer Formbook, kvůli kterému útočníci všechny výše popsané manévry uskutečnili, je považovaný za nástupce v Česku dlouhodobě přítomného škodlivého kódu Agent Tesla. Potvrzuje se, že i když Česká republika není zemí s vysokým počtem potenciálních obětí, přesto útočníkům stojí za to připravit útok přímo nám na míru.