Česko bylo v květnu terčem organizovaného spamového útoku

18. 6. 2025. (redaktor: František Doupal, zdroj: Eset)
Do popředí pravidelné statistiky malwaru pro operační systém Windows v Česku se v květnu vyšplhaly tři škodlivé kódy, které podle bezpečnostních expertů útočníci využili v organizovaném spamovém útoku na české uživatele a uživatelky. Cílem útočníků bylo pravděpodobně podpořit šíření infostealeru Formbook, který je využívaný ke krádežím přihlašovacích údajů, především hesel.

Útočníci škodlivé kódy nakoupili podle bezpečnostních expertů na dark webu. Šířili je prostřednictvím podvodných e-mailů v češtině a jednotlivé vlny útoku mezi sebou různě provazovali. Jakmile oběti otevřely škodlivou přílohu e-mailu, spustily malware, který do jejich počítače stáhl další hrozbu.

Na základě analýzy škodlivých kódů pro operační systém Windows došli bezpečnostní experti k závěru, že Česká republika byla v květnu pod organizovaným útokem. V čele pravidelné statistiky se tentokrát objevily v současnosti spíše okrajové škodlivé kódy. Podle bezpečnostních expertů je útočníci nakoupili na dark webu. Jde ve všech případech o malware, který dokáže stáhnout do zařízení další škodlivý kód – v případě České republiky především nechvalně proslulý infostealer Formbook, který je určený ke krádežím uživatelských dat, především hesel k našim účtům.

Není to poprvé, kdy všechny důkazy svědčí tom, že se Česká republika stala cílem promyšlené spamové kampaně z dílny menšího počtu útočníků. Letošní květen byl ale unikátní tím, že zachycené útoky na sebe přesně navazovaly, byly vedeny v češtině a vykazují jasné známky vzájemného propojení,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Všechny nejčastěji zastoupené škodlivé kódy mohou útočníci sehnat na černém trhu, tedy na dark webu. Jejich úkolem je stahovat do zařízení další malware. Ke stahování dalšího škodlivého obsahu docházelo v květnu ze serveru, odkud útočníci šíří také obávaný infostealer Formbook. Ten v květnu navíc vykazoval zvýšenou aktivitu přesně v časech zachycených spamových kampaní. S velkou pravděpodobností se proto domníváme, že hlavní snahou útočníků bylo právě nasazení tohoto infostealeru,“ řekl Jirkal.

Že jde o konkrétní útok na Česku republiku, dokazují i e-maily v češtině včetně českých překladů příloh, které obsahovaly zmíněné škodlivé kódy. Uživatelé a uživatelky je v domnění, že otevírají přílohu s podrobnostmi o nějaké objednávce, vpustili do svých počítačů.

Již v dubnu jsme zaznamenali desítky tisíc škodlivých e-mailů, které doslova zasypaly Česko. S ohledem na to, že se útočníkům evidentně vyplatí své útoky inovovat a věnovat jim další čas na vylepšení, by měli být čeští uživatelé a uživatelky nanejvýš opatrní při práci s e-maily a neklikat na odkazy ani neotevírat soubory přiložené v přílohách, pokud se jedná o nevyžádanou komunikaci. Spolehlivou ochranou před infostealery je pak vždy především bezpečnostní software,“ dodal Jirkal.

Tři škodlivé kódy a propracovaná strategie

Zmíněné útoky začaly 12. května. Útočníci použili škodlivý kód Agent.QMG a šířili jej podvodným e-mailem ve škodlivé příloze s názvem Objednavka_250197.vbs.

Malware Agent.QMG sledujeme v Česku dlouhodobě a v minulosti se již objevil na předních místech naší statistiky. Jeho úkolem je především stahovat z internetové adresy do zařízení další škodlivý kód. Podobně pak funguje malware Agent.CLE, který převzal pomyslnou štafetu už 13. května. I v tomto případě útočníci zvolili prověřenou strategii a malware schovali do souboru, který vydávali za objednávku,“ vysvětluje Jirkal.

Po kratší přestávce, kterou pravděpodobně využili k přípravě, se útočníci vrátili 19. května, a to opět v útoku, který byl provázaný s těmi předešlými. Tentokrát použili škodlivý kód Agent.TAY. I tento malware měl shodné funkce se škodlivým kódem Agent.QMG. Podvodné e-mailové zprávy útočníci rozesílali stále v češtině, příloha však měla už jen obecnější označení POĠ_. 40715CZ25.vbs. Spolu s ním byl v tomto balíčku ukrytý i již zmíněný škodlivý kód Agent.CLE. Na závěr této série útočných kampaní, 20. května, pak útočníci ještě jednou přes e-mail rozšířili samotný malware Agent.CLE v příloze s názvem Objednávka_omni-x05140001_pdf.bat.

Infostealer Formbook, kvůli kterému útočníci všechny výše popsané manévry uskutečnili, je považovaný za nástupce v Česku dlouhodobě přítomného škodlivého kódu Agent Tesla. Ten začal slábnout na konci loňského roku a nyní se ve statistice objevuje v několika procentech případů. Infostealery nejsou rizikem jen pro Česko, proto byl květnový organizovaný útok na naše prostředí tak neobvyklý. Potvrzuje se, že i když Česká republika není zemí s vysokým počtem potenciálních obětí, přesto útočníkům stojí za to připravit útok přímo nám na míru. Situaci nadále monitorujeme,“ uzavřel Jirkal z ESETu.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za květen 2025:

  1. PowerShell/Agent.CLE trojan (20,54 %)
  2. VBS/Agent.QMG trojan (13,06 %)
  3. VBS/Agent.TAY trojan (12,94 %)
  4. MSIL/Spy.Agent.AES trojan (7,04 %)
  5. Win32/Formbook trojan (6,66 %)
  6. PowerShell/Agent.CSN trojan (3,74 %)
  7. MSIL/Spy.AgentTesla trojan (2,37 %)
  8. Win64/Agent.ECK trojan (1,44 %)
  9. Win32/Rescoms trojan (1,15 %)
  10. BAT/Agent.QSN trojan (1,13 %)
Štítky: 
Bezpečnost, Malware, Kybernetické útoky, Eset
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Patrick Müller, senior channel manažer společnosti Sophos

Patrick Müller (Sophos): Přinášíme mnoho atraktivních novinek

16. 7. 2025. (redaktor: František Doupal, zdroj: DCD Publishing a Sophos)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme během pražské Experience Roadshow hovořili o novinkách v oblasti partnerského prodeje. V rozhovoru odhalíme detaily o nové firemní strategii, virtuálním CISO, AI asistentovi s názvem Sales Companion nebo postupném přerodu společnosti do pozice platformního poskytovatele. Čtěte více

Výdaje na kybernetickou bezpečnost letos v Evropě vzrostou o 11,8%

9. 5. 2025. (redaktor: František Doupal, zdroj: IDC)
Společnost IDC předpokládá, že výdaje na bezpečnost v Evropě v roce 2025 meziročně vzrostou o 11,8 %. Geopolitický vývoj, zintenzivnění kybernetické kriminality a zpřísňující se regulační prostředí nutí evropské organizace přijímat stále sofistikovanější obranná opatření. Očekává se, že výdaje na bezpečnost zůstanou po celé období 2023-2028 vysoké a do roku 2028 dosáhnou téměř 97 miliard USD. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více