V květnu se Česká republika stala cílem neobvykle propracovaného kybernetického útoku. Útočníci využili kombinaci starších, ale stále účinných škodlivých kódů, které nakoupili na dark webu, a vsadili na jednoduchý, leč efektivní trik – podvodné e-maily v češtině. Základem útoku byl infostealer Formbook, jehož cílem je krádež přihlašovacích údajů a hesel. Kampaň probíhala v několika navazujících vlnách a do popředí detekcí antivirové firmy ESET se dostaly dříve opomíjené trojany jako Agent.CLE nebo Agent.QMG.
„Není to poprvé, kdy všechny důkazy svědčí tom, že se Česká republika stala cílem promyšlené spamové kampaně z dílny menšího počtu útočníků. Letošní květen byl ale unikátní tím, že zachycené útoky na sebe přesně navazovaly, byly vedeny v češtině a vykazují jasné známky vzájemného propojení,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Všechny nejčastěji zastoupené škodlivé kódy mohou útočníci sehnat na černém trhu, tedy na dark webu. Jejich úkolem je stahovat do zařízení další malware. Ke stahování dalšího škodlivého obsahu docházelo v květnu ze serveru, odkud útočníci šíří také obávaný infostealer Formbook. Ten v květnu navíc vykazoval zvýšenou aktivitu přesně v časech zachycených spamových kampaní. S velkou pravděpodobností se proto domníváme, že hlavní snahou útočníků bylo právě nasazení tohoto infostealeru,“ dodává.
E-maily působily důvěryhodně – tvářily se jako potvrzení objednávek a přílohy měly názvy jako „Objednavka_250197.vbs“ nebo „POĠ_.40715CZ25.vbs“. Jakmile oběť otevřela soubor, malware si z internetu stáhl další kód, často právě zmíněný Formbook. Podle ESETu byly útoky promyšlené, jazykově lokalizované a načasované tak, aby na sebe plynule navazovaly. Ačkoliv je tedy e-mail mnohými považován už za přežitý způsob komunikace, ve firemním světě má stále své místo – a útočníci to evidentně vědí.
„Infostealer Formbook, kvůli kterému útočníci všechny výše popsané manévry uskutečnili, je považovaný za nástupce v Česku dlouhodobě přítomného škodlivého kódu Agent Tesla. Ten začal slábnout na konci loňského roku a nyní se ve statistice objevuje v několika procentech případů. Infostealery nejsou rizikem jen pro Česko, proto byl květnový organizovaný útok na naše prostředí tak neobvyklý. Potvrzuje se, že i když Česká republika není zemí s vysokým počtem potenciálních obětí, přesto útočníkům stojí za to připravit útok přímo nám na míru. Situaci nadále monitorujeme,“ vysvětluje Jirkal z ESETu.
A co z toho všeho plyne? Když vám přijde „objednávka“ v příloze a netušíte, že byste něco objednávali – neklikejte. I jeden špatný klik může znamenat přístup útočníka k vašemu heslu, a odtud už je jen krůček k větším problémům.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za květen 2025:
- PowerShell/Agent.CLE trojan (20,54 %)
- VBS/Agent.QMG trojan (13,06 %)
- VBS/Agent.TAY trojan (12,94 %)
- MSIL/Spy.Agent.AES trojan (7,04 %)
- Win32/Formbook trojan (6,66 %)
- PowerShell/Agent.CSN trojan (3,74 %)
- MSIL/Spy.AgentTesla trojan (2,37 %)
- Win64/Agent.ECK trojan (1,44 %)
- Win32/Rescoms trojan (1,15 %)
- BAT/Agent.QSN trojan (1,13 %)
