Na základě lednové statistiky kybernetických hrozeb pro operační systém Windows v Česku opět stoupla aktivita škodlivých kódů Formbook a Agent.AES. Oba jsou přitom v posledních měsících v bezpečnostní komunitě skloňovány jako pokračovatelé a nástupci spywaru Agent Tesla, jehož detekční čísla nadále klesají. V lednu se v Česku objevovaly spíše globálně cílené kampaně a české překlady názvů nebezpečných e-mailových příloh byly spíše výjimkou. Vyplývá to z detekčních dat společnosti ESET.
Infostealer Formbook se v lednu opět objevil ve více než 40 procentech případů a vrátil se tak na hodnoty z loňského listopadu. V počtu detekcí pak „posílil“ také škodlivý kód Agent.AES s podílem 10 procent všech zachycených případů. Naposledy se přitom na úrovni těchto hodnot objevil během letních měsíců. Infostealery jsou dlouhodobou hrozbou pro operační systém Windows nejen v Česku. Jedná se o typ spywaru, který útočníci využívají pro špionážní aktivity a odcizení uživatelských dat, především přihlašovacích údajů do našich účtů. V zařízení se mohou chovat velmi nenápadně a trvá poměrně dlouho, než je uživatelé odhalí.
„V případě infostealeru Formbook jsme zachytili dvě velké útočné kampaně 6. a 16. ledna. Zdrojem škodlivého kódu zůstávají nebezpečné e-mailové přílohy, které vzbuzují dojem, že se jedná o nějaké faktury nebo objednávky. V lednu jsme mohli pozorovat hlavně globální útoky v angličtině, české překlady se objevovaly pouze v malém množství v případě spywaru Agent Tesla,“ komentuje lednová čísla z pravidelné statistiky pro operační systém Windows Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „V lednu se na přední místa opět vrátil také škodlivý kód Agent.AES. Jedná se rovněž o malware, který řadíme mezi spyware a který útočníci využívají pro krádeže přihlašovacích údajů a dalších dat. Ačkoli je nyní nejvíce aktivním škodlivým kódem Formbook, je to právě malware Agent.AES, který je považován za jednoho z možných nástupců nechvalně proslulého spywaru Agent Tesla,“ vysvětluje Jirkal.
Dlouhodobá „jednička“ mezi spywary, Agent Tesla, začal slábnout koncem minulého roku a bezpečnostní experti potvrzují, že se jedná o trvalý stav. Podle jejich informací totiž autoři škodlivého kódu již neplánují pokračovat v jeho vývoji. Infostealer Formbook se v lednu nejčastěji objevoval v přílohách „CSZ inquiry for MH raw material.exe“ či „PO No. 0146850827805 HSP0059842.exe“. Malware Agent.AES zachytili experti z ESETu nejčastěji v příloze s názvem „Payment Error.cmd“.
V případě spywaru Agent Tesla detekční čísla stále zcela viditelně klesají. V lednu ho bezpečnostní experti zachytili pouze v necelých třech procentech případů. Podle nich se jedná především o staré kampaně z méně používaných e-mailových účtů. Spyware ukrývaly přílohy s názvy „SGJ780097-JWVY8560I-HHWQEUUIT6F6.bat“, „Zpusob_platby,jpg.exe“ nebo „Poptavka 00413_pdf.exe“.
„I když se v případě škodlivého kódu Agent Tesla jednalo v lednu o starší kampaně, které jsme vídali již v minulosti, neznamená to, že by byl méně nebezpečný. Ostražitost je na místě do té doby, dokud budou útočníci udržovat servery, na kterých shromažďují data obětí, aktivní. Řada infostealerů totiž funguje jako služba, kterou si lze koupit – malware-as-a-service,“ vysvětluje Jirkal.
Nejčastější hrozby pro Windows
ČR, leden 2025
1. Win32/Formbook trojan (41,56 %)
2. MSIL/Spy.Agent.AES trojan (10,54 %)
3. MSIL/Spy.AgentTesla trojan (2,69 %)
4. Win32/PSW.Fareit trojan (1,49 %)
5. Win32/Fynloski trojan (1,27 %)
6. Win64/Rozena trojan (1,24 %)
7. Win32/Rescoms trojan (1,17 %)
8. Win32/Floxif virus (0,80 %)
9. Win32/Spy.LummaStealer trojan (0,77 %)
10. Win32/Agent.AFYY trojan (0,71 %)
11. Win32/Rescoms trojan (1,26 %)
Zdroj: Eset
