Téměř za čtvrtinou všech zachycených případů škodlivého kódu pro operační systém Windows v Česku stál tentokrát trojský kůň CloudEye. V kontextu této proměny v čele pravidelné statistiky zaznamenali bezpečnostní experti významnější oslabení infostealeru Formbook, ale i znepokojivý nárůst případů infostealeru Agent Tesla, jehož vývoj přitom útočníci na konci loňského roku ukončili. Vyplývá to z pravidelné analýzy detekčních dat společnosti ESET. I v případě trojského koně CloudEye platí pro uživatele a uživatelky bezpečnostní doporučení pro práci s jejich příchozí elektronickou poštou. Experti mimo jiné také upozorňují na důležitost pravidelných aktualizací, jejichž ignorování může i starým verzím škodlivého kódu umožnit vstup do našich zařízení.
Podle bezpečnostních expertů z ESETu začíná trojský kůň CloudEye pomalu získávat mezi útočníky celosvětovou popularitu. Jak upozorňují, dříve evidovali tento škodlivý kód pod označením GuLoader, před kterým ESET varoval například na jaře roku 2023. V letošním listopadu byl v Česku detekován ve větších kampaních hned dvakrát – nejdříve jako škodlivý kód Agent.QMG a podruhé jako CloudEye. Jedná se o stejný malware, který pod různými verzemi útočníci zkoušeli doručit nebezpečnými e-maily do zařízení obětí.
„Škodlivý kód, který označujeme jako CloudEye, není v Česku novinkou. V takové míře jsme jej ale nějakou dobu v našem prostředí neviděli. Za listopad jeho detekce povyskočily téměř na čtvrtinu všech případů škodlivých kódů pro operační systém Windows,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Přítomnost tohoto škodlivého kódu v Česku není dobrou zprávou. Opět nám to ukazuje, že útočníci chtějí aktuální období před koncem roku maximálně vytěžit ve svůj prospěch. Jedná se o velmi sofistikovaný malware, který je přizpůsobený k tomu, aby nešel tak snadno analyzovat. Jeho primární funkcí je stahovat do zařízení další škodlivé kódy. V Česku to vždy byly hlavně infostealery Agent Tesla a Formbook, které se v listopadu také objevily na předních místech naší statistiky,” doplňuje Jirkal.
Stejně jako v předchozích měsících si útočníci vybrali po sobě dva jdoucí týdny, ve kterých se plně soustředili na šíření malwaru CloudEye. Útoky byly přizpůsobeny českým uživatelům a uživatelkám. Nejčastěji jsme mohli na tento malware narazit při spuštění e-mailové přílohy „PO_54333677011_678978687_Žádná recenze.vbs“. Samotný e-mail pak útočníci vydávali za shrnutí objednávky. Dále se objevovaly také přílohy „Zmluva-pdf.js“ či „NV11036587-, Predpis_pojistne_smlouvy_c_3268222706.bat“.
Ačkoli se v tuto chvíli jedná o jiný škodlivý kód, než je standardně infostealer Formbook, obrana zůstává dle kyberbezpečnostních expertů stejná – kromě využívání kvalitního bezpečnostního programu je důležitá také preventivní ostražitost při práci s elektronickou poštou. Lidé by dle nich měli již dopředu počítat s tím, že se v jejich e-mailové schránce může objevit nebezpečná zpráva a v nevyžádané komunikaci by nikdy neměli stahovat a spouštět přílohy nebo klikat na odkazy.
Znepokojivá aktivita infostealeru Agent Tesla
Zatímco také u infostealeru Agent Tesla zaznamenali experti z ESETu znepokojivý nárůst počtu detekcí, významnější propad pak evidovali u infostealeru Formbook. Kampaně těchto škodlivých kódů nebyly tentokrát cílené přímo na Česko.
„Vysoký počet detekcí v případě infostealeru Agent Tesla není dobrou zprávou. Útočníkům se evidentně stále vyplácí využívat staré verze tohoto škodlivého kódu a více než 15procentní podíl detekcí to v tomto případě dokládá. Většina bezpečnostních řešení by měla být na tento škodlivý kód již perfektně připravená a varovným ukazatelem je tak skutečnost, že takový malware může být úspěšný jen na špatně chráněných a neaktualizovaných počítačích. Vypadá to, že nás v oblasti počítačové bezpečnosti čeká v Česku ještě spousta práce,“ připomíná Jirkal.
Podle bezpečnostních expertů je v případě infostealerů důležitá ochrana v podobě profesionálního bezpečnostního softwaru. Ten dokáže vytvořit bezpečnou složku, do které zjištěnou hrozbu přesune. Uživatelé si poté mohou e-mail ve složce v případě zájmu prohlédnout a pak jej smazat. Bezpečnostní experti pak upozorňují ještě na pravidelné aktualizace softwaru a všech programů v našich zařízeních, které jako uživatelé leckdy odkládáme.
„Určitě to velmi dobře znáte, systém vám ohlásí potřebu aktualizace s nutným restartováním počítače, vy máte zrovna něco rozdělaného, tak to odložíte a mnohdy na to možná zapomenete. Právě ale aktualizovaný operační systém je v přístupu k bezpečnosti našich zařízení, dat a přihlašovacích údajů, které jsou kořistí infostealerů především, naprosto klíčové. Aktuálně se jedná o velkou výzvu především v souvislosti s ukončením podpory operačního systému Windows 10, který podle našeho posledního průzkumu stále využívá zhruba třetina lidí. Ačkoli uživatelé a uživatelky dostali možnost si podporu o rok prodloužit, určitě bych doporučoval provést upgrade na vyšší verzi co nejdříve, protože kybernetické hrozby rozhodně nepočkají a jak vidíme, útočníci udělají všechno proto, aby svoje zbraně přizpůsobili,“ dodává Jirkal z ESETu.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za listopad 2025:
- PowerShell/CloudEye trojan (24 %)
- MSIL/Spy.AgentTesla trojan (15, 42 %)
- Win32/Formbook trojan (13, 89 %)
- VBS/Agent.TEM trojan (4, 34 %)
- PowerShell/Agent.DNC trojan (2, 66 %)
- MSIL/XWorm trojan (1, 75 %)
- MSIL/Spy.Agent.AES trojan (1, 08 %)
- MSIL/Spy.SnakeStealer trojan (0, 88 %)
- Win32/Spy.VB.OLN trojan (0, 73 %)
- VBS/Agent.TGD trojan (0, 71 %)
