Společnost Eset ve svém pravidelném přehledu detekčních dat informuje, že v dubnu znovu vzrostly detekce infostealeru Formbook, který tak stále stojí v čele pravidelné statistiky kybernetických hrozeb pro operační systém Windows v Česku. Útočníci jej tentokrát šířili v neobvykle silné kampani zaměřené na Českou republiku a Slovensko.
Útoky načasovali na Velikonoce. Bezpečnostní experti zachytili nejvíce případů škodlivého kódu na Zelený čtvrtek a v úterý po Velikonočním pondělí, kdy se lidé vraceli do práce a otevírali své e-maily. K šíření infostealeru využili škodlivý program ModiLoader, který poté, co infikuje počítač, stahuje další malware a spouští ho podle pokynů útočníků.
Velikonoční nadílka
Počet případů infostealeru Formbook vzrostl v dubnu na více než třetinu všech zachycených detekcí. Velké kampaně připravili útočníci v první polovině měsíce, kdy šířili škodlivý kód globálně prostřednictvím e mailů v angličtině.
Během velikonočních svátků pak na Česko zacílila silná kampaň, ve které útočníci využili škodlivý program ModiLoader. Ten jim slouží k dalšímu šíření malwaru určenému ke krádežím informací či k získání vzdáleného přístupu k počítači – škodlivých kódů Rescoms a Agent.AES nebo již zmíněného infostealeru Formbook.
„Škodlivý program ModiLoader je známou a stálou hrozbou nejen v České republice, většinou jej ale neevidujeme v tak masivní kampani, jaké jsme byli svědky letos v dubnu. Útočníci si pro české uživatele a uživatelky tentokrát připravili promyšlenou strategii,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce Esetu.
„Útok začal na Zelený čtvrtek. O tom, jak byla tato kampaň silná, svědčí i množství škodlivých e-mailů, které jsme monitorovali – jejich počet se vyšplhal na desítky tisíc. Na Slovensko mířilo v tento den podle našich dat 41 % všech celosvětových útoků tohoto programu, na Českou republiku to bylo 30 %,“ popisuje analytik.
Velký skok v detekčních datech Eset pozoroval i v úterý po Velikonocích. Pravděpodobným vysvětlením je podle Martina Jirkala to, že lidé, kteří se vraceli ze svátků zpět do práce k počítačům, otevírali mezi pracovními e-maily bohužel i ty škodlivé.
Buďte obezřetní i o svátcích
E-mailové zprávy, které obsahovaly škodlivý program ModiLoader, podle Esetu informovaly příjemce o tom, že obdržel dokument se shrnutím objednávky, spolu s požadavkem na její potvrzení. Text zprávy byl napsaný v češtině bez gramatických a stylistických chyb, což opět potvrzuje, že byl útok cílený a pečlivě připravený.
V příloze těchto e-mailů byl ModiLoader „schovaný“ v dokumentu s názvem „Objednavka.iso“. Pokud oběť soubor otevřela, zobrazil se soubor „Obejdnavka.cmd“, který po spuštění nakazil dané zařízení.
„Zachycený dubnový útok je názornou ukázkou toho, jak dnes útočníci podobné kampaně připravují,“ vysvětluje Martin Jirkal. „Svátky a období volna jsou pro ně dobrou příležitostí. Mohou zneužít toho, že máme naši pozornost nasměrovanou jinam – k našim dovoleným a volnočasovým aktivitám.“
„V případě takto připravených útoků neexistuje obrana, která by byla úplně snadná a jednoduchá, přesto se ale uživatelé mohou bránit velice efektivně. Vždy v případě nevyžádané e-mailové komunikace doporučujeme skepsi a obezřetnost spolu s využíváním profesionálního bezpečnostního softwaru,“ uzavírá analytik.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2025:
- Win32/Formbook trojan (35,04 %)
- MSIL/Spy.Agent.AES trojan (13,23 %)
- Win32/Rescoms trojan (3,77 %)
- MSIL/Spy.AgentTesla trojan (3,44 %)
- Win64/Agent.ECK trojan (3,26 %)
- VBS/Agent.SWW trojan (2,78 %)
- PowerShell/Agent.CLE trojan (1,06 %)
- Win64/Rozena trojan (1,05 %)
- VBS/Agent.SXV trojan (0,97 %)
- Win32/Expiro virus (0,86 %)
Zdroj: Eset
