Česká republika čelí výraznému nárůstu kybernetických útoků, které využívají takzvaný malware první linie. Podle pravidelné květnové analýzy společnosti ESET (viz eset.com) tvořil samotný škodlivý kód CloudEyE více než třetinu všech detekcí pro operační systém Windows v Česku. Situace eskalovala 11. června 2026, kdy analytici zachytili masivní kampaň s využitím méně častého malwaru ModiLoader, která cílila na tisíce počítačů v segmentu malých a středních firem.
„Bohužel již několik měsíců pozorujeme nárůst případů takzvaného malwaru první linie. Jeho hlavním úkolem je být co nejméně nápadný a nevzbuzovat žádné podezření. Jakmile ale získá vstup do zařízení, začne dle požadavku útočníků stahovat další škodlivé kódy,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Známe dokonce případy, kdy spolu pak začnou v cílovém zařízení páchat škody infostealer a ransomware – útočníci nejdříve odcizí ze zařízení veškeré osobní údaje, včetně hesel, a následně zařízení zašifrují. Oběť v dalším kroku začnou vydírat a požadovat zaplacení výkupného,“ dodává.
Malware typu loader či downloader, mezi které CloudEyE i ModiLoader patří, si útočníci snadno pořizují na černém trhu. Jejich hlavní nebezpečí spočívá v tom, že jsou navrženy tak, aby byly pro běžné bezpečnostní mechanismy i uživatele co nejméně nápadné. Útočníci navíc v poslední době kombinují destrukční sílu různých typů malwaru. Jakmile loader infiltruje systém, stáhne do něj infostealer (program na kradení dat) a ransomware. Oběť tak nejprve přijde o hesla a osobní údaje, a vzápětí je její počítač zablokován s požadavkem na zaplacení výkupného.
Útočníci se přitom při šíření malwaru CloudEyE spoléhají na psychologii a nepozornost uživatelů. V květnu maskovali škodlivé skripty do extrémně dlouhých názvů souborů (např. „Oficiální DOKUMENČNÍ DOPIS DOC č. 0225_02 úterý, květen 2026 (07) doc.js“). Cílem je skrýt skutečnou příponu .js (JavaScript), která značí spustitelný kód, nikoliv textový dokument. Ještě sofistikovanější strategii pak zvolili autoři červnové kampaně s malwarem ModiLoader. K rozesílání phishingových e-mailů totiž zneužili napadené účty dvou reálných českých firem. E-maily obsahovaly přílohu s názvem „Objednávka 392600784“, což rapidně zvýšilo důvěryhodnost zprávy. Po otevření přílohy ModiLoader infikoval počítač známým infostealerem Formbook, zaměřeným na krádeže uživatelských hesel.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za květen 2026:
- PowerShell/CloudEyE trojan (38,70 %)
- JS/Agent.UIN trojan (12,93 %)
- JS/TrojanDropper.ModiLoader trojan (4,98 %)
- JS/Agent.UQA trojan (3,98 %)
- JS/Agent.UNV trojan (3,96 %)
- JS/Agent.RIB trojan (2,70 %)
- Win64/Aotera Trojan (2,36 %)
- PowerShell/Starter trojan (2,04 %)
- Win64/Inoci trojan (2,01 %)
- MSIL/Spy.SnakeStealer trojan (1,96 %)
