Česko se v listopadu stalo cílem trojského koně CloudEye

Podle bezpečnostních expertů z ESETu začíná trojský kůň CloudEye pomalu získávat mezi útočníky celosvětovou popularitu. Jak upozorňují, dříve evidovali tento škodlivý kód pod označením GuLoader, před kterým ESET varoval například na jaře roku 2023. V letošním listopadu byl v Česku detekován ve větších kampaních hned dvakrát – nejdříve jako škodlivý kód Agent.QMG a podruhé jako CloudEye. Jedná se o stejný malware, který pod různými verzemi útočníci zkoušeli doručit nebezpečnými e-maily do zařízení obětí.

„Škodlivý kód, který označujeme jako CloudEye, není v Česku novinkou. V takové míře jsme jej ale nějakou dobu v našem prostředí neviděli. Za listopad jeho detekce povyskočily téměř na čtvrtinu všech případů škodlivých kódů pro operační systém Windows,“ uvedl Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Přítomnost tohoto škodlivého kódu v Česku není dobrou zprávou. Opět nám to ukazuje, že útočníci chtějí aktuální období před koncem roku maximálně vytěžit ve svůj prospěch. Jde o velmi sofistikovaný malware, který je přizpůsobený k tomu, aby nešel tak snadno analyzovat. Jeho primární funkcí je stahovat do zařízení další škodlivé kódy. V Česku to vždy byly hlavně infostealery Agent Tesla a Formbook, které se v listopadu také objevily na předních místech naší statistiky,” doplnil Jirkal.

Stejně jako v předchozích měsících si útočníci vybrali po sobě dva jdoucí týdny, ve kterých se plně soustředili na šíření malwaru CloudEye. Útoky byly přizpůsobeny českým uživatelům a uživatelkám. Nejčastěji jsme mohli na tento malware narazit při spuštění e-mailové přílohy „PO_54333677011_678978687_Žádná recenze.vbs“. Samotný e-mail pak útočníci vydávali za shrnutí objednávky. Dále se objevovaly také přílohy „Zmluva-pdf.js“ či „NV11036587-, Predpis_pojistne_smlouvy_c_3268222706.bat“.

Ačkoli se v tuto chvíli jedná o jiný škodlivý kód, než je standardně infostealer Formbook, obrana zůstává dle kyberbezpečnostních expertů stejná – kromě využívání kvalitního bezpečnostního programu je důležitá také preventivní ostražitost při práci s elektronickou poštou. Lidé by dle nich měli již dopředu počítat s tím, že se v jejich e-mailové schránce může objevit nebezpečná zpráva a v nevyžádané komunikaci by nikdy neměli stahovat a spouštět přílohy nebo klikat na odkazy.

Znepokojivá aktivita infostealeru Agent Tesla

Zatímco také u infostealeru Agent Tesla zaznamenali experti z ESETu znepokojivý nárůst počtu detekcí, významnější propad pak evidovali u infostealeru Formbook. Kampaně těchto škodlivých kódů nebyly tentokrát cílené přímo na Česko.

„Vysoký počet detekcí v případě infostealeru Agent Tesla není dobrou zprávou. Útočníkům se evidentně stále vyplácí využívat staré verze tohoto škodlivého kódu a více než 15procentní podíl detekcí to v tomto případě dokládá. Většina bezpečnostních řešení by měla být na tento škodlivý kód již perfektně připravená a varovným ukazatelem je tak skutečnost, že takový malware může být úspěšný jen na špatně chráněných a neaktualizovaných počítačích. Vypadá to, že nás v oblasti počítačové bezpečnosti čeká v Česku ještě spousta práce,“ připomněl Jirkal.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za listopad 2025:

1. PowerShell/CloudEye trojan (24 %)
2. MSIL/Spy.AgentTesla trojan (15, 42 %)
3. Win32/Formbook trojan (13, 89 %)
4. VBS/Agent.TEM trojan (4, 34 %)
5. PowerShell/Agent.DNC trojan (2, 66 %)
6. MSIL/XWorm trojan (1, 75 %)
7. MSIL/Spy.Agent.AES trojan (1, 08 %)
8. MSIL/Spy.SnakeStealer trojan (0, 88 %)
9. Win32/Spy.VB.OLN trojan (0, 73 %)
10. VBS/Agent.TGD trojan (0, 71 %)