V dubnu opět vzrostly detekce infostealeru Formbook, který tak stále stojí v čele pravidelné statistiky kybernetických hrozeb pro operační systém Windows v Česku. Útočníci jej tentokrát šířili v neobvykle silné kampani zaměřené na Českou republiku a Slovensko. Útoky načasovali na Velikonoce. Bezpečnostní experti zachytili nejvíce případů škodlivého kódu na Zelený čtvrtek a v úterý po Velikonočním pondělí, kdy se lidé vraceli do práce a otevírali své e-maily. K šíření infostealeru využili škodlivý program ModiLoader, který poté, co infikuje počítač, stahuje další malware a spouští ho podle pokynů útočníků. Vyplývá to z pravidelné statistiky detekčních dat společnosti ESET.
Počet případů infostealeru Formbook vzrostl v dubnu na více než třetinu všech zachycených detekcí. Velké kampaně připravili útočníci v první polovině měsíce, kdy šířili škodlivý kód globálně prostřednictvím e‑mailů v angličtině. Během velikonočních svátků pak na Česko zacílila silná kampaň, ve které útočníci využili škodlivý program ModiLoader. Ten jim slouží k dalšímu šíření malwaru určenému ke krádežím informací či k získání vzdáleného přístupu k počítači – škodlivých kódů Rescoms a Agent.AES nebo již zmíněného infostealeru Formbook.
„Škodlivý program ModiLoader je známou a stálou hrozbou nejen v České republice, většinou jej ale neevidujeme v tak masivní kampani, jaké jsme byli svědky letos v dubnu. Útočníci si pro české uživatele a uživatelky tentokrát připravili promyšlenou strategii,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Útok začal na Zelený čtvrtek. O tom, jak byla tato kampaň silná, svědčí i množství škodlivých e-mailů, které jsme monitorovali – jejich počet se vyšplhal na desítky tisíc. Na Slovensko mířilo v tento den podle našich dat 41 % všech celosvětových útoků tohoto programu, na Českou republiku to bylo 30 %. Velký skok v detekčních datech jsme pozorovali i v úterý po Velikonocích. Pravděpodobným vysvětlením je to, že lidé, kteří se vraceli ze svátků zpět do práce k počítačům, otevírali mezi pracovními e-maily bohužel i ty škodlivé,“ vysvětluje Jirkal.
E-mailové zprávy, které obsahovaly škodlivý program ModiLoader, informovaly příjemce o tom, že obdržel dokument se shrnutím objednávky, spolu s požadavkem na její potvrzení. Text zprávy byl napsaný v češtině bez gramatických a stylistických chyb, což opět potvrzuje, že byl útok cílený a pečlivě připravený. V příloze těchto e-mailů byl ModiLoader „schovaný“ v dokumentu s názvem „Objednavka.iso“. Pokud oběť soubor otevřela, zobrazil se soubor „Obejdnavka.cmd“, který po spuštění nakazil dané zařízení.
Škodlivý program ModiLoader se obvykle šíří prostřednictvím phishingových kampaní. Ty mají v případě operačního systému Windows v Česku podobu zpráv o objednávkách s nebezpečnými přílohami, které útočníci vydávají za různé související dokumenty – faktury nebo shrnutí objednávek. ModiLoader po spuštění stáhne další škodlivé kódy (například infostealer Formbook) ze serveru útočníků, nebo jsou již distribuovány spolu s ním jako jeho součást. Následně škodlivý obsah dešifruje a poté spustí přímo z paměti napadeného počítače.
„Kromě velké velikonoční kampaně jsme ModiLoader detekovali i v následujících dnech v jednom menším útoku. V obou případech útočníci využili tento program pro šíření infostealeru Formbook, který byl také již součástí škodlivé přílohy. Jejich cílem tedy byla jako vždy naše uživatelská data, především hesla,“ vysvětluje Jirkal.
Nejčastější hrozby pro Windows
ČR, duben 2025
1. Win32/Formbook trojan (35,04 %)
2. MSIL/Spy.Agent.AES trojan (13,23 %)
3. Win32/Rescoms trojan (3,77 %)
4. MSIL/Spy.AgentTesla trojan (3,44 %)
5. Win64/Agent.ECK trojan (3,26 %)
6. VBS/Agent.SWW trojan (2,78 %)
7. PowerShell/Agent.CLE trojan (1,06 %)
8. Win64/Rozena trojan (1,05 %)
9. VBS/Agent.SXV trojan (0,97 %)
10. Win32/Expiro virus (0,86 %)
Zdroj: Eset
