Zatímco kybernetickou hrozbou číslo jedna v Česku zůstává infostealer Formbook, bezpečnostní experti společnosti ESET zaznamenali v srpnu 2025 nezvyklý návrat infostealeru Agent Tesla. Tento škodlivý kód patřil v posledních letech mezi hlavní zbraně hackerů, kteří cíleně útočí na české uživatele Windows. Přestože jeho autoři na konci loňského roku oznámili ukončení vývoje, starší verze se nyní objevila v několika vlnách útoků.
„Velmi silnou útočnou kampaň jsme tentokrát pozorovali již na začátku minulého měsíce, tedy 5. srpna. V tomto hlavním útoku se objevovaly infikované e-mailové přílohy, kterými se infostealer dlouhodobě šíří do našich e-mailových schránek, pouze s názvy v angličtině. V samotném e-mailu bylo minimum textu. Na konci srpna se však opět objevily e-mailové přílohy s názvy v češtině. Útočníci stále zkoušejí to samé – svým obětem zasílají domnělé účtenky a potvrzení o platbách. Cílem jsou naše data a přihlašovací údaje, která lze dobře zpeněžit na černém trhu a využít v přípravě dalších útoků,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.
Jak se škodlivý kód šířil?
Útočníci využili kombinace Agent Tesla a Formbook, čímž zvyšovali účinnost svých kampaní. E-maily s infikovanými přílohami se objevovaly nejen v angličtině, ale nově i v češtině. Typické přílohy zahrnovaly názvy jako: „RFQ_AUGUST 254524_PDF.exe“, „Your Leave_For Mid Year_Till _Decembre 2025 JPG.exe“ či „Účtenka.exe“ s předmětem „Toto je potvrzení o platbě za fakturu…“
Cílem útoků je krádež dat a přihlašovacích údajů, které lze snadno zpeněžit na černém trhu nebo využít při dalších kybernetických útocích. „Riziko, že nechtěně otevřeme škodlivou přílohu, může být poměrně veliké, i když si třeba říkáme, že dáváme pozor. Zvlášť to třeba hrozí v případě, že očekáváme větší množství zásilek, nebo denně odbavíme velké množství e-mailů obchodního charakteru. Řada těchto příloh se navíc tváří neškodně, jako soubory MS Office, PDF nebo obrázky. Příloha upozorňující na spustitelný podezřelý soubor, tedy .exe, nemusí být na první pohled v dlouhém názvu viditelná. S ohledem na přetrvávající přítomnost infostealerů v našem regionu doporučujeme maximální obezřetnost a zvážit i profesionální ochranu našich dat,“ doplňuje Jirkal.
Podle ESETu probíhaly útoky Agent Tesla těsně před hlavními srpnovými vlnami Formbooku, což naznačuje možné propojení jedné útočné skupiny.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za srpen 2025:
- Win32/Formbook trojan (30,59 %)
- MSIL/Spy.AgentTesla trojan (8,15 %)
- MSIL/Spy.Agent.AES trojan (6,90 %)
- VBS/Agent.TKB trojan (2,60 %)
- Win32/Rescoms trojan (2,45 %)
- QRCode/Phishing trojan (1,44 %)
- Win64/Expiro virus (1,33 %)
- Win32/Spy.VB.OLS trojan (1,28 %)
- PowerShell/Agent.DCV trojan (1,10 %)
- Win32/PSW.Fareit trojan (1,04 %)
