Pořadí nejčastěji detekovaných škodlivých kódů pro operační systém Windows v Česku se aktuálně mění z měsíce na měsíc. Zatímco ještě v únoru byl největším rizikem malware Agent.AES, známý také jako Snake Keylogger, v březnu jej se stejným počtem zachycených detekcí opět vystřídal infostealer Formbook. Bezpečnostní experti tak situaci stále monitorují, a to v prostředí, ve kterém před několika měsíci došlo k útlumu dlouhodobě dominantního infostealeru Agent Tesla. Podle nich útočníci škodlivé kódy velmi dynamicky vyvíjejí a o to větší nebezpečí mohou představovat pro uživatele a uživatelky. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.
Nejsilnější útočné kampaně infostealeru Formbook probíhaly z 10. na 11. března a pak koncem měsíce, 28. a 31. března. Nejčastější škodlivá příloha se tentokrát jmenovala „Purchase Order 139022.exe“. Bezpečnostní experti při bližším pohledu potvrdili, že útočníci se ve všech případech snažili své oběti nalákat na e-mail s informacemi o doručování balíku.
„Infostealer Formbook má aktuálně jasně ohraničené útočné kampaně a mimo ně byli útočníci v březnu aktivní spíše ojediněle. V první polovině měsíce a koncem března však byly zachycené útoky silné. Mohlo by se zdát, že infostealer je tak méně nebezpečný, ale opak je spíše pravdou, protože aktuální útoky jsou zacílené na konkrétní státy a útočníci do nich investují více zdrojů. Využívají i zcela nové verze způsobů útoku,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.
Infostealer Formbook se v březnu objevil se stejným počtem detekcí, jako v únoru Snake Keylogger alias Agent.AES. Došlo tak k tomu, že si tyto dva škodlivé kódy prakticky vyměnily své pozice. Keylogger zaznamenává stisky kláves na klávesnici, dokáže ale odcizit data dalšími způsoby, které jsou typické pro tento typ škodlivých kódů. Útočníci jej neustále vyvíjejí. Dokážou s jeho využitím odcizit hesla z komunikačních platforem nebo e-mailových klientů, z FTP, webových prohlížečů nebo bezdrátových sítí. V březnu vyzkoušeli strategii, při které se pokusili zmást uživatele domnělými oskenovanými dokumenty v příloze e-mailů – „Scanned Copy.exe“ a „Scan Doc.exe“. Po jejich spuštění keylogger infikoval počítač oběti.
„V březnu jsme mohli opět vidět, jak nestabilní je aktuální situace poté, co autor infostealeru Agent Tesla ukončil jeho vývoj a jeho čísla se po několika letech dominantní převahy skokově propadly. Jak o infostealeru Formbook, tak o malwaru Agent.AES se mluví jako o jeho možných nástupcích. Evidentně zatím ani jeden z těchto škodlivých kódů nemá takovou převahu, jakou se právě vyznačoval Agent Tesla. Může za tím být i skutečnost, že oba typy škodlivých kódů útočníci dynamicky vyvíjejí, proto vždy u jednoho z nich zaznamenáme ve sledovaném měsíci pokles počtu detekcí,“ říká Jirkal.
Nejčastější hrozby pro Windows
ČR, březen 2025
1. Win32/Formbook trojan (25,96 %)
2. MSIL/Spy.Agent.AES trojan (15,62 %)
3. MSIL/Spy.AgentTesla trojan (3,12 %)
4. Win64/Agent.ECK trojan (2,87 %)
5. MSIL/Agent.DWN trojan (2,57 %)
6. BAT/Agent.QSN trojan (2,50 %)
7. Win32/Delf.NBX virus (1,99 %)
8. Win32/Expiro virus (1,84 %)
9. Win32/Loader.Ropalidia trojan (1,11 %)
10. Win32/PSW.Fareit trojan (0,91 %)
Zdroj: Eset
