Pravidelná analýza detekčních dat společnosti Eset ukázala, že kyberútočníci v únoru manipulovali české uživatele a uživatelky nebezpečnými e-maily s žádostmi o kontrolu smluv či pracovních nabídek. Jednalo se však jen o zastírací strategii pro šíření škodlivého kódu CloudEyE. Jednou z jeho hlavních funkcí je stahovat do počítače další škodlivé kódy, což útočníkům pomáhá s jejich šířením.
V únoru zůstal v čele pravidelné statistiky pro Českou republiku škodlivý kód CloudEyE. Bezpečnostní experti v jeho případě zaznamenali nejsilnější útoky v období od 5. do 7. února. Spolu s tímto malwarem se v Česku objevily dále také škodlivé kódy Aotera a Formbook.
„Minulý měsíc jsme mohli v našem regionu sledovat pokračující aktivitu malwaru CloudEyE, i když už se nejednalo o takový nárůst případů, jako tomu bylo v lednu. Podvodné e-maily, kterými útočníci tento škodlivý kód šíří, obsahovaly jako přílohu nebezpečný skript,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce Esetu.
„V únoru byly tyto útoky připravené na míru českým uživatelům a uživatelkám – útočníci je ve zprávách vyzývali ke kontrole smluv nebo pracovních nabídek, za které škodlivé přílohy vydávali,“ doplňuje analytik.
Falešná naléhavost
V závěsu za malwarem CloudEyE se v únoru objevil škodlivý kód s názvem Aotera. Na české uživatele a uživatelky i v tomto případě cílila rozsáhlá phishingová kampaň, přičemž bezpečnostní experti zachytili nejsilnější útoky 11. února. Předmět škodlivého e-mailu byl „RE: REQUEST FOR QUOTATION – URGENT“. Příloha ukrývala právě zmíněný malware.
„Aotera je škodlivý kód typu loader. Útočníci ho šíří jako samostatný spustitelný soubor a vydávají ho za relevantní přílohu v e-mailové zprávě. Jakmile oběť soubor spustí, malware Aotera v paměti rozbalí a aktivuje další schovaný škodlivý kód. Podle naší analýzy se v únoru tímto způsobem šířil například škodlivý kód SnakeStealer anebo infostealer Formbook,“ říká Jirkal.
Dvojici výše zmíněných škodlivých kódů doplnil také infostealer Formbook. Výrazněji aktivní byl především ve druhé polovině února. V jeho případě se pak mohli uživatelé a uživatelky setkat s celou přehlídkou podvodných zpráv na různá témata. Většina e-mailů byla v angličtině, přestože je útočníci odesílali z Česka.
„Podvodná komunikace je sice velmi často spjata se šířením škodlivého kódu v rámci operačního systému Windows, přesto byl únor v tomto ohledu výjimečný co do pestrosti smyšlených scénářů. V případě infostealeru Formbook se objevovaly nejrůznější náměty – faktury, pracovní smlouvy nebo informace o zásilkách. Zprávy přitom kladly velký důraz na naléhavé řešení situace. Právě naléhavost je jedním z ukazatelů phishingové komunikace,“ popisuje Jirkal.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2026:
- PowerShell/CloudEyE trojan (15,87 %)
- Win64/Aotera trojan (9,77 %)
- Win32/Formbook trojan (8,35 %)
- BAT/Agent.SBM trojan (7,77 %)
- JS/Agent.RIB trojan (3,42 %)
- BAT/Agent.SCS trojan (2,82 %)
- Win64/Inoci trojan (2,58 %)
- MSIL/Spy.AgentTesla trojan (2,36 %)
- JS/Agent.TZJ trojan (2,27 %)
- VBS/Agent.TVK trojan (2,05 %)
Zdroj: Eset
