Nejčastěji detekovaným škodlivým kódem v České republice byl v srpnu infostealer Formbook. Bezpečnostní experti z ESETu však ve stínu jeho útoků zaznamenali velký návrat malwaru Agent Tesla.
Podobně jako v předchozím měsíci, i v srpnu útočníci využili k šíření infostealeru Formbook malware Agent.ECK. Strategii, ve které si na pomoc vezmou další škodlivé kódy, zapojili v případě aktuálně nejaktivnějšího infostealeru v Česku již několikátý měsíc po sobě.
„Velmi silnou útočnou kampaň jsme tentokrát pozorovali již na začátku minulého měsíce, tedy 5. srpna. V tomto hlavním útoku se objevovaly infikované e-mailové přílohy, kterými se infostealer dlouhodobě šíří do našich e-mailových schránek, pouze s názvy v angličtině. V samotném e-mailu bylo minimum textu. Na konci srpna se však opět objevily e-mailové přílohy s názvy v češtině. Útočníci stále zkoušejí to samé – svým obětem zasílají domnělé účtenky a potvrzení o platbách. Cílem jsou naše data a přihlašovací údaje, která lze dobře zpeněžit na černém trhu a využít v přípravě dalších útoků,“ říká Martin Jirkal z ESETu.
Velký návrat sledovali bezpečnostní experti v srpnu u infostealeru Agent Tesla. Tento škodlivý kód patřil v několika uplynulých letech k předním zbraním hackerů nejen v útocích na Českou republiku. Autoři tohoto škodlivého kódu však na konci loňského roku oznámili ukončení jeho vývoje a postupně jej začal nahrazovat jiný malware, například již zmíněný Formbook.
Ačkoli se infostealer Agent Tesla vrátil na přední místa pravidelné statistiky, jedná se stále o historickou verzi útoku, nikoli o nový typ. Většina kvalitních a moderních bezpečnostních řešení by si s ním tak měla poradit. Útoky s použitím infostealeru Agent Tesla probíhaly těsně před velkými útoky infostealeru Formbook na začátku srpna. Pak proběhlo ještě několik útoků vždy na začátku jednotlivých srpnových týdnů, a po nich vždy následovaly, i když už méně silné, útoky infostealerem Formbook. Útočné kampaně tak mohly být vzájemně propojené a stála za nimi pravděpodobně jedna útočná skupina.
Nevěřte všemu, co v e-mailu vidíte
Zatímco v červenci zůstali útočníci hlavně u angličtiny, v srpnu už začali opět zapojovat české překlady názvů e-mailových příloh.
Na infostealer Formbook jsme mohli v srpnu narazit například v přílohách „FULL - TG 517.exe“ v e-mailech s předmětem „Additional DOCUMENTS BOOKING“. V menší míře se pak objevovaly přílohy s názvy „Účtenka.exe“ s předmětem e-mailu „Toto je potvrzení o platbě za fakturu 73936 zaplacenou dne 28.10.2021“.
V případě infostealeru Agent Tesla se mohli lidé v Česku setkat s přílohami s názvy „RFQ_AUGUST 254524_PDF.exe“ či „Your Leave_For Mid Year_Till _Decembre 2025 JPG.exe“. Infostealer SnakeStealer se nejvíce ukrýval v přílohách „Statement of Account 2025.zip“ nebo „kopie platby09886673.exe“.
Riziko, že nechtěně otevřeme škodlivou přílohu, může být poměrně veliké, i když si třeba říkáme, že dáváme pozor. Zvlášť to třeba hrozí v případě, že očekáváme větší množství zásilek, nebo denně odbavíme velké množství e-mailů obchodního charakteru. Řada těchto příloh se navíc tváří neškodně, jako soubory MS Office, PDF nebo obrázky. Příloha upozorňující na spustitelný podezřelý soubor, tedy .exe, nemusí být na první pohled v dlouhém názvu viditelná.
Spolehlivou pojistkou před nechtěným otevřením škodlivé přílohy a vpuštěním škodlivého kódu do zařízení je bezpečnostní software. Moderní řešení dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu v e-mailu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a následně jej smazat.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za srpen 2025:
- Win32/Formbook trojan (30,59 %)
- MSIL/Spy.AgentTesla trojan (8,15 %)
- MSIL/Spy.Agent.AES trojan (6,90 %)
- VBS/Agent.TKB trojan (2,60 %)
- Win32/Rescoms trojan (2,45 %)
- QRCode/Phishing trojan (1,44 %)
- Win64/Expiro virus (1,33 %)
- Win32/Spy.VB.OLS trojan (1,28 %)
- PowerShell/Agent.DCV trojan (1,10 %)
- Win32/PSW.Fareit trojan (1,04 %)
Uživatelé řešení ESET jsou před těmito hrozbami chráněni.
