Spam v Česku: Útočníci si výrazně zlepšili češtinu

Infostealer Formbook a malware Agent.CLE měly v červnové statistice téměř shodný podíl detekcí v rámci všech zachycených škodlivých kódů pro operační systém Windows v Česku. Již v květnu bezpečnostní experti upozornili na to, že útočné kampaně těchto dvou škodlivých kódů spolu mohou souviset a vyloučené to podle nich není ani v rámci červnových útoků.

I přes to, že přímé důkazy v tuto chvíli nejsou k dispozici, svědčilo o tom několik ukazatelů. Nejsilnější aktivita malwaru Agent.CLE připadla na 12. a 19. června. V dané dny experti pozorovali zároveň také zvýšenou aktivitu škodlivého kódu Formbook. Útočníci si navíc opět dali mezi jednotlivými kampaněmi týden přestávku. Pravděpodobně se tak znovu opakoval stejný vzorec z letošního května.

S češtinou může pomáhat AI

Zatímco spamové kampaně malwaru Agent.CLE byly přeložené do češtiny, přímé útoky infostealeru Formbook byly vedeny v angličtině. Malware Agent.CLE útočníci schovávali pod přílohy, které se tvářily jako objednávky – „Objednavka_2928.bat“ či „Gufero-612025_pdf.cmd“. Na infostealer Formbook mohli pak uživatelé a uživatelky narazit především v příloze s názvem „MT103-17463829584.exe“.

„Útoky v češtině byly tentokrát opravdu velmi dobře připravené. V minulosti, když se kyberútočníci rozhodli komunikovat česky, nás často na něco nekalého upozornila špatná úroveň češtiny, hrubky a stylistické přešlapy. V červnových útocích jsme ale na nic takového nenarazili,“ říká Martin Jirkal z ESETu.

Je možné, že stále zlepšující se úroveň nástrojů umělé inteligence v tomto směru útočníkům s přípravou spamových kampaní pomáhá. Bezpečnostní specialisté proto vyzývají k co největší opatrnosti. Infostealery jsou velkým rizikem pro naše hesla k řadě důležitých účtů a v hledáčku útočníků jsou jak jednotlivci, tak zaměstnanci firem. Rozhodně je proto důležité neklikat bez rozmyslu na odkazy ani neotevírat soubory v předem nevyžádaných zprávách. Právě v letních měsících, kdy se lidé po dovolené vrátí do kanceláře a budou procházet doručené e-maily, může být riziko vyšší.

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

PDF soubor s netradiční příponou

Spamové kampaně v Česku jsou dlouhodobě specifické tím, jak útočníci maskují škodlivý kód za různé přílohy e-mailů. Při bližším pohledu lze vidět, že příloha může mít rovnou příponu, která označuje spustitelný soubor (například .exe nebo .bat). Dokumenty v přílohách mohou mít ale také dvě koncovky, přičemž tu druhou z nich, která by na škodlivou aktivitu upozornila, uživatelé nemusí vždy vidět.

Příloha se ve velkém počtu případů může jevit jako dokument v programu MS Word, ve formátu PDF nebo jako obrázek. Uživatelé pak nemusí mít vůbec podezření, že otevírají soubor, se kterým je něco špatně.

Spolehlivou pojistkou před nechtěným otevřením škodlivé přílohy a vpuštěním škodlivého kódu do zařízení je bezpečnostní software. Dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a pak jej smazat.

Infostealery jsou již pokročilou kybernetickou hrozbou a rozhodně je není moudré podceňovat. S našimi odcizenými daty a přihlašovacími údaji pak mohou útočníci obchodovat na dark webu nebo je využít k přípravě nových útoků.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červen 2025:

1. Win32/Formbook trojan (22,05 %)
2. PowerShell/Agent.CLE trojan (18,89 %)
3. MSIL/Spy.Agent.AES trojan (5,11 %)
4. MSIL/Spy.AgentTesla trojan (4,90 %)
5. Win64/Agent.GFB.gen trojan (3,94 %)
6. Win64/Agent.ECK trojan (3,56 %)
7. Win32/Expiro virus (3,05 %)
8. VBS/Agent.TCT trojan (2,06 %)
9. VBS/Agent.QMG trojan (1,81 %)
10. BAT/Agent.QSN trojan (1,65 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.