K infostealeru Formbook se v září přidal trojský kůň Rescoms

9 min. čtení

23 / 10 / 2025

České prostředí kyberhrozeb pro operační systém Windows se v září dynamicky proměnilo. Infostealer Formbook doplnil tentokrát trojský kůň Rescoms.

Bezpečnostní experti z ESETu sledovali v září změny v pravidelné statistice kyberhrozeb pro operační systém Windows v Česku. Zatímco ještě v srpnu výrazně vzrostla aktivita nechvalně proslulého infostealeru Agent Tesla, poslední analýza opět potvrzuje, že se jednalo pravděpodobně jen o jednorázovou kampaň díky stále dostupným starším verzím tohoto škodlivého kódu.

Ačkoli kyberhrozbám nadále kraluje infostealer Formbook, v září nezopakoval silnější kampaně z konce letošního léta. Nejvíce se objevoval maskovaný za downloader Win64/Agent.ECK a ukrytý v nebezpečné e-mailové příloze s anglickým názvem „shipping documents.exe“. Hackeři jej tak nadále šíří pomocí dalších škodlivých kódů.

Infostealer v září tentokrát doplnil malware, které u nás tak často nepotkáme. Jednalo se například o škodlivý kód, který označujeme jako Agent.DIC a jehož funkcí je stahovat do zařízení další malware.

„Na konci sledovaného měsíce jsme zachytili velmi silný útok na Česko. Útočníci posílali na své oběti e-mail s předmětem ‚Žádost o cenovou nabídku‘ a škodlivý kód byl jako vždy ukrytý v přiloženém dokumentu, jehož název byl poskládaný ze znaků české abecedy,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

Rescoms - trojský kůň s přesvědčivým maskováním

Po delší pauze se ve větším zastoupení objevil také škodlivý kód Rescoms. Útočníci jej šířili prostřednictvím downloaderu s názvem BAT/Agent.RMJ. Na potenciální oběti opět vyslali škodlivé e-maily a nebezpečný kód nastražili pod přílohu „OBJEDNAVKA_34002174.bat“.

„V posledních týdnech pozorujeme u malwaru Rescoms nárůst případů. V České republice je to konkrétně zhruba od poloviny září. Stále provádíme detailnější analýzy, nicméně může za tím být i změna nákupního chování útočníků na černém trhu. I díky zásahu proti malware rodině Lumma Stealer klesla poptávka po této hrozbě a kyberútočníci mohou zkrátka hledat nové, vhodnější nástroje,“ říká Martin Jirkal.

Trojský kůň Rescoms, který je známý i pod názvem Remcos, je aplikace pro vzdálenou správu počítače, kterou hackeři již řadu let otevřeně zneužívají. Je to malware s celou řadou funkcí k odcizení dat a odposlechu obětí.

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Trojské koně a nebezpečí pro naše soukromí

Škodlivý kód zaměřený na krádež dat je bohužel jednou z největších hrozeb, které v současnosti lidé v Česku čelí. Na náš region se střídavě zaměřují globální i cílené spamové kampaně, ve kterých hackeři šíří malware v e-mailech s nebezpečnými přílohami odkazujícími na domnělé doklady objednávek, účtenky a faktury. Podle bezpečnostních expertů jsou v ohrožení jak uživatelé a uživatelky z řad široké veřejnosti, tak lidé z firem, kteří s podobnými dokumenty každý den pracují a ve spěchu si nebezpečí nemusí hned všimnout.

Trojského koně Rescoms útočníci využívají k narušení našeho soukromí a odcizení osobních údajů – podobně, jako například infostealer Formbook. Mimo spam může být součástí i složitějších útoků. Na internetu jej můžeme potkat jako komerční nástroj, který vydávají za software ke vzdálené správě systému Windows.

Útočníci investují do přípravy svých kampaní nemalé prostředky a věnují čas strategii. V posledních týdnech je velkým tématem konec podpory pro verzi operačního systému Windows 10 a jak ukázal nejnovější průzkum od ESETu, někteří uživatelé nemusí být v tomto tématu tak dobře zorientovaní a informovaní. Může tak být snadné je oklamat lživou komunikací zneužívající známou službu. V celkové situaci tak můžeme ve spěchu a nepozornosti kliknout na soubory, které působí věrohodně a na první pohled nám obdržená zpráva slibuje pomoc s nějakým procesem či úkolem. Ve skutečnosti je to ale malware, který nás má poškodit.