Bezpečnostní situace v českém digitálním prostoru zůstává napjatá. Přestože nejčastěji detekovaným malwarem pro operační systém Windows v České republice zůstal i v dubnu loader CloudEyE, bezpečnostní experti ze společnosti ESET (viz eset.com) varují před výrazným nárůstem aktivity tzv. downloaderů (stahovačů). Tyto škodlivé kódy fungují jako první fáze útoku a jejich úkolem je nepozorovaně připravit půdu pro stažení finálního škodlivého obsahu – nejčastěji obávaných infostealerů zaměřených na krádeže hesel.
Podle analytiků stojí za touto proměnou strategií především měnící se trendy na dark webu, kde se kyberkriminalita profesionalizuje a přebírá standardní komerční modely. Škodlivý kód CloudEyE sice ve srovnání s předchozím měsícem zaznamenal poloviční aktivitu, stále se však objevil v pětině všech zachycených případů (21,51 %). Útoky vedené tímto malwarem vynikaly v dubnu velmi zdařilou lokalizací do češtiny. Útočníci maskovali e-maily za oficiální dokumenty či vyúčtování. „V dubnu se útoky vyznačovaly velmi zdařilými překlady do češtiny – i CloudEyE se totiž šíří prostřednictvím škodlivých e-mailů a příloh, které útočníci vydávají za různé oficiální dokumenty. Tuto strategii dobře známe od infostealerů. Právě tyto škodlivé kódy, ať už se bavíme o infostealerech Agent Tesla, Formbook nebo SnakeStealer, bývají velmi často malwarem, který CloudEyE pomůže dostat do cílového zařízení a spustit jej,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.
Experti upozorňují také na sofistikované technické triky. Útočníci v názvech e-mailových příloh (např. Vyuctovani_40667838_2604˙pdf.bat) vkládají před finální příponu speciální znaky. Tímto způsobem se snaží obejít bezpečnostní filtry, které automaticky blokují dvojité přípony typu .pdf.bat či .doc.exe. Významný podíl na dubnových útocích každopádně měly také downloadery Agent.UIN (8,24 %) a Agent.UHW (8,12 %). Na rozdíl od CloudEyE probíhaly tyto kampaně v angličtině a šířily se prostřednictvím podvodných objednávek a dokladů o nákupu. Po otevření přílohy stáhly ze sítě malware napsaný v jazyce C# s jasným cílem: infikovat počítač oběti a odcizit citlivá data.
Tento nárůst rozmanitosti škodlivých kódů přímo souvisí s rozvojem černého trhu. Na dark webu dnes funguje nelegální ekosystém nabízející „malware jako službu“ (Malware-as-a-Service). Útočníci si zde mohou škodlivý kód jednoduše předplatit, podobně jako legitimní software, což otevírá dveře i technicky méně zdatným jedincům. „Dark web neboli temný web je součástí tzv. deep webu, který je opakem internetu, který známe z každodenního používání. Pokud byste ho chtěli prohlížet jako klasický internet, budete potřebovat speciální prohlížeč a znát přesnou adresu stránky, kterou chcete navštívit. Na dark webu často končí ukradené přihlašovací údaje a další citlivá data uživatelů. Obchoduje se tam i s různými škodlivými kódy, které jejich autoři nabízejí formou služby – představit si to můžeme, jako když si předplácíte nějaký legální a populární program či online službu. Obchody probíhající na temných tržištích jsou díky anonymitě používaných technologií důvěrné a relativně nevystopovatelné. Zároveň zde neexistují žádné státní regulace, placení daní nebo cla,“ vysvětluje Jirkal.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2026:
- PowerShell/CloudEyE trojan (21,51 %)
- JS/Agent.UIN trojan (8,24 %)
- JS/Agent.UHW trojan (8,12 %)
- BAT/Agent.SBM trojan (7,24 %)
- JS/Agent.RIB trojan (4,25 %)
- MSIL/Spy.SnakeStealer trojan (4,11 %)
- Win64/Aotera trojan (3,19 %)
- MSIL/Spy.AgentTesla trojan (3,12 %)
- MSIL/XWorm trojan (2,71 %)
- JS/Agent.UGF trojan (2,23 %)
