Společnost Eset upozorňuje, že útočníci i v červenci pokračovali v šíření infostealeru Formbook a opět do této aktivity zapojili další škodlivý kód, který jim měl pomoci nejen v Česku obávanou hrozbu skrýt před odhalením.
Ačkoli tentokrát kyberzločinci nevsadili na české překlady útočných e-mailů ani škodlivých příloh, detekce infostealeru Formbook vzrostly už na více než čtvrtinu všech zachycených kybernetických hrozeb pro operační systém Windows v Česku. Kromě těchto případů rostly také detekce škodlivého kódu Snake Stealer nebo infostealeru Agent Tesla.
Zákeřné přílohy
Již v minulých měsících bezpečnostní experti z Esetu upozorňovali na to, že k šíření Formbooku u mohou útočníci využívat organizované kampaně a další škodlivé kódy. A podobnou útočnou strategii objevili i v červenci.
„Nejvíce detekcí infostealeru Formbook jsme sledovali na začátku července. Následně ale útočníci opět sáhli ke stejné metodě z předchozích měsíců a infostealer Formbook schovali pod jiný škodlivý kód, tentokrát pod Agent.ECK. Odhalila to naše podrobnější investigace,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce Esetu.
Útočné kampaně škodlivého kódu Agent.ECK, který ukrýval obávaný infostealer, byly nejsilnější 14. a 28. července. Nebezpečné e-mailové přílohy, které jsou primárními zdroji infostealerů nejen v České republice, tentokrát neměly české názvy. Nejčastěji se objevovala příloha s názvem „Scanned Copy PO.exe“.
Velmi sledovaný had
Eset rovněž zjistil, že oproti předchozímu měsíci mírně narostly detekce dalšího obávaného infostealeru, jenž bezpečnostní experti monitorují pod názvem Agent.AES. Známý je nicméně i pod jménem Snake Stealer či Snake Keylogger.
„Snake Stealer je ve světě kyberbezpečnosti aktuálně velmi sledovanou hrozbou. Podle naší poslední zprávy ESET Threat Report H1 2025 byl tento malware v období od prosince 2024 do května 2025 celosvětově infostealerem číslo jedna,“ vysvětluje Martin Jirkal.
Útočníci díky němu dokážou zaznamenávat stisky kláves, odcizit uložené přihlašovací údaje, pořizovat snímky obrazovky a sbírat data ze schránky. Spolu s infostealerem Formbook je analytici Esetu vnímají jako nástupce nechvalně proslulého infostealeru Agent.Tesla, který začal slábnout na přelomu letošního roku.
„Stále monitorujeme, zda některý z těchto dvou malwarů dosáhne jednoznačné převahy a převezme finálně pomyslnou štafetu,“ říká Martin Jirkal a dodává: „U zmíněného infostealeru Agent.Tesla jsme v červenci také zaznamenali mírný nárůst detekcí a v jeho případě se dokonce objevila verze škodlivé přílohy v češtině s názvem Poptavka 00413_pdf.exe.
„Jak jsme již ale upozorňovali dříve, s těmito občasnými výkyvy se budeme i v případě tohoto škodlivého kódu ještě nějaký čas setkávat. I když byl oficiálně oznámen jeho konec přímo útočníky, kteří jej vyvíjeli, jeho starší verze včetně českých příloh se mohou stále prodávat na černém trhu a jiným útočníkům ještě nějaký ten čas dobře sloužit,“ uzavírá analytik Esetu.
Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červenec 2025:
- Win32/Formbook trojan (28,84 %)
- MSIL/Spy.Agent.AES trojan (7,29 %)
- MSIL/Spy.AgentTesla trojan (5,78 %)
- Win32/Expiro virus (3,60 %)
- Win32/Rescoms trojan (3,10 %)
- PowerShell/Agent.BTQ trojan (2,13 %)
- Win64/Expiro virus (1,80 %)
- MSIL/Agent.DWN trojan (1,77 %)
- Win32/PSW.Fareit trojan (1,25 %)
- Win32/Delf.NBX virus (1,01 %)
Zdroj: Eset
