Vrátil se škodlivý kód Agent Tesla, v srpnu předcházel masivnímu útoku na data

Zatímco kybernetickou hrozbou číslo jedna pro počítače s operačním systémem Windows v Česku nadále zůstává infostealer Formbook, bezpečnostní experti v srpnu zaznamenali nezvyklý návrat nechvalně proslulého škodlivého kódu Agent Tesla, který rovněž spadá do kategorie infostealerů.

Útoky na sebe nápadně navazovaly a pravděpodobně za nimi mohli stát ti stejní útočníci. Přílohy e-mailů, kterými se škodlivé kódy šíří do zařízení obětí, měly tentokrát názvy nejen v angličtině, ale také v češtině. Vyplývá to z pravidelné analýzy detekčních dat společnosti ESET.

Podobně jako v předchozím měsíci, i v srpnu útočníci využili k šíření infostealeru Formbook malware Agent.ECK. Strategii, ve které si na pomoc vezmou další škodlivé kódy, zapojili v případě aktuálně nejaktivnějšího infostealeru v Česku již několikátý měsíc po sobě.

„Velmi silnou útočnou kampaň jsme tentokrát pozorovali již na začátku minulého měsíce, tedy 5. srpna.  V tomto hlavním útoku se objevovaly infikované e-mailové přílohy, kterými se infostealer dlouhodobě šíří do našich e-mailových schránek, pouze s názvy v angličtině. V samotném e-mailu bylo minimum textu. Na konci srpna se však opět objevily e-mailové přílohy s názvy v češtině. Útočníci stále zkoušejí to samé – svým obětem zasílají domnělé účtenky a potvrzení o platbách. Cílem jsou naše data a přihlašovací údaje, která lze dobře zpeněžit na černém trhu a využít v přípravě dalších útoků,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

Velký návrat sledovali bezpečnostní experti v srpnu u infostealeru Agent Tesla. Tento škodlivý kód patřil v několika uplynulých letech k předním zbraním hackerů nejen v útocích na Českou republiku. Autoři tohoto škodlivého kódu však na konci loňského roku oznámili ukončení jeho vývoje a postupně jej začal nahrazovat jiný malware, například již zmíněný Formbook.

„Ačkoli se infostealer Agent Tesla vrátil na přední místa naší pravidelné statistiky pro operační systém Windows v Česku, jedná se stále o historickou verzi útoku, nikoli o nový typ. Většina kvalitních a moderních bezpečnostních řešení by si s ním tak měla poradit,“ vysvětluje Jirkal a dodává: „Jak jsme nicméně při bližší analýze odhalili, útoky s použitím infostealeru Agent Tesla probíhaly těsně před velkými útoky infostealeru Formbook na začátku srpna. Pak proběhlo ještě několik útoků vždy na začátku jednotlivých srpnových týdnů, a po nich vždy následovaly, i když už méně silné, útoky infostealerem Formbook. Domníváme se tak, že útočné kampaně mohly být vzájemně propojeny a že za nimi stála jedna útočná skupina.“

Nevěřte všemu, co v e-mailu vidíte

Zatímco v červenci zůstali útočníci hlavně u angličtiny, v srpnu už začali opět zapojovat české překlady názvů e-mailových příloh. Na infostealer Formbook jsme mohli v srpnu narazit například v přílohách „FULL – TG 517.exe“ v e-mailech s předmětem „Additional DOCUMENTS BOOKING“. V menší míře se pak objevovaly přílohy s názvy „Účtenka.exe“ s předmětem e-mailu „Toto je potvrzení o platbě za fakturu 73936 zaplacenou dne 28.10.2021“. V případě infostealeru Agent Tesla se mohli lidé v Česku setkat s přílohami s názvy „RFQ_AUGUST 254524_PDF.exe“ či „Your Leave_For Mid Year_Till _Decembre 2025 JPG.exe“. Infostealer SnakeStealer se nejvíce ukrýval v přílohách „Statement of Account 2025.zip“ nebo „kopie platby09886673.exe“.

„Riziko, že nechtěně otevřeme škodlivou přílohu, může být poměrně veliké, i když si třeba říkáme, že dáváme pozor. Zvlášť to třeba hrozí v případě, že očekáváme větší množství zásilek, nebo denně odbavíme velké množství e-mailů obchodního charakteru. Řada těchto příloh se navíc tváří neškodně, jako soubory MS Office, PDF nebo obrázky. Příloha upozorňující na spustitelný podezřelý soubor, tedy .exe, nemusí být na první pohled v dlouhém názvu viditelná. S ohledem na přetrvávající přítomnost infostealerů v našem regionu doporučujeme maximální obezřetnost a zvážit i profesionální ochranu našich dat,“ doplňuje Martin Jirkal z ESETu.