Do čela pravidelné statistiky pro operační systém Windows se vrátil v lednu malware CloudEyE, a to v masivních útocích na Česko. Jeho hlavní funkcí je po napadení stahovat další škodlivé kódy.
Zatímco ještě na konci roku klesly případy trojského koně CloudEyE na necelých 7 procent, hned zkraje ledna se jeho přítomnost v Česku skokově zvýšila.
Nárůst případů škodlivého kódu CloudEyE zaznamenali bezpečnostní experti už během loňského listopadu. Tehdy se objevil s podílem pětiny všech zachycených detekcí. V prosinci se ale zase poměrně výrazně propadl. V lednu jej opět zachytili s dramatickým nárůstem, a to v několika vlnách útoků na větší část Evropy.
Česká republika byla v lednu mezi vybranými zeměmi, na které se útočníci spolu s tímto malwarem zaměřili. Podobně jako infostealer Formbook jej šíří v e-mailových spamových kampaních a ukrývají pod přílohy s názvy, kterými chtějí upoutat naši pozornost a přimět nás k jejich stažení a otevření.
„Hlavním úkolem tohoto škodlivého kódu je dostat do počítače jiný malware. Velmi často se jedná právě o infostealery určené ke krádežím osobních dat, především hesel. K tomu všemu má úroveň nebezpečí v podobě škodlivého kódu CloudEyE ještě jeden rozměr, na který bychom neměli zapomínat – jako nástroj je na černém trhu dostupný ke koupi jakémukoli útočníkovi, který může do našich zařízení nasadit škodlivý kód, který se mu zrovna bude hodit,” říká Martin Jirkal z ESETu.
Škodlivé přílohy, které ukrývaly trojského koně CloudEyE, měly v lednu názvy „2026-13-01-0273.js“, „IMG2026-01-15-3472.js“ nebo „SMLOUVA.js“. V České republice se pak objevovaly také přílohy pojmenované jako „Rozsah prací pro nabídky“. CloudEyE v našem prostředí standardně šíří škodlivé kódy Agent Tesla, Rescoms či Formbook.
Nezmeškejte nic důležitého
Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.
ODEBÍRAT NOVINKYPád infostealeru Formbook?
Na základě lednové statistiky se může zdát, že infostealer Formbook, který byl v loňském roce největší kyberhrozbou v Česku, nahradil právě trojský kůň CloudEyE. Není to ale podle bezpečnostních expertů tak jednoduché. Podle nich se spíše ukazuje, že útočníci začali infostealer Formbook schovávat pod jiné škodlivé kódy, aby podpořili jeho šíření. Z tohoto důvodu tak nelze říct, že by se stával méně nebezpečným, spíše naopak.
„Hesla zcela jednoznačně zůstávají lovnou zvěří útočníků i v letošním roce. Jejich metody se navíc vyvíjejí s tím, jak jim s generováním podvodných e-mailových zpráv a názvů v různých jazycích mohou pomáhat nástroje umělé inteligence. Určitě je tak na místě nepodceňovat základy bezpečného nakládání s našimi hesly – tvořit ideálně dostatečně dlouhá hesla obsahující znaky, číslice, velká a malá písmena, pro každý svůj účet mít unikátní heslo, které již nikde znovu nepoužívám, a neukládat je nikam do souborů v počítači ani do internetových prohlížečů,” dodává Martin Jirkal.
Hesla neohrožují jen infostealery
I přestože se škodlivý kód Agent.RIB v lednu objevil jen v několika procentech případů, jeho přítomnost na předních místech statistiky upoutala pozornost bezpečnostních expertů. Je totiž dalším příkladem, jak mohou útočníci získávat naše hesla a přístup k účtům. Nejedná se přitom o pokročilý škodlivý kód, jako jsou infostealery.
„Agent.RIB je opravdu velmi jednoduchý škodlivý kód, přesným opakem toho, co v našich pravidelných statistikách kyberhrozeb vídáme. Útočníci jej také šířili e-mailem. Ve zprávě odeslali svým obětem HTML soubor v příloze, který po otevření načetl webovou stránku s formulářem pro zadání přihlašovacího jména a hesla. Jakmile se tak stalo, údaje se odeslaly útočníkovi na platformu Telegram. Útok již pak nijak nepokračoval, šlo zcela evidentně jen o sběr uživatelských hesel,“ vysvětluje Martin Jirkal z ESETu.
Přihlašovací jména a hesla pak útočník může využít k získání přístupu k našim účtům, například pomocí útoku nazývaného credential stuffing. Riziko prolomení je v těchto případech největší u takových účtů, u kterých používáme opakovaně stejná hesla a nemáme u nich nastavené vícefázové ověření.
Pokud už útočník má seznam přihlašovacích údajů, může kombinace přihlašovacích jmen a hesel pomocí speciálního softwaru „nacpat“ do různých webových stránek.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za leden 2026:
- PowerShell/CloudEyE trojan (61,86 %)
- JS/Agent.RIB trojan (3,16 %)
- Win32/Formbook trojan (3,02 %)
- VBS/Agent.TGD trojan (2,81 %)
- Win64/Aotera trojan (2,19 %)
- MSIL/Spy.AgentTesla trojan (2,00 %)
- Win64/Filecoder trojan (0,81 %)
- Win32/Expiro virus (0,74 %)
- MSIL/Cassandra trojan (0,64 %)
- MSIL/Spy.Agent.AES trojan (0,59 %)
Uživatelé řešení ESET jsou před těmito hrozbami chráněni.
ESET Cloud Office Security
Přidejte další vrstvu pokročilé ochrany k vašim aplikacím Microsoft 365 nebo Google Workspace, a předcházejte kybernetickým hrozbám ve vaší síti.
Dozvědět se více
