Nejoblíbenější zbraní kyberútočníků byl v Česku v únoru infostealer Agent.AES

Posilování tohoto škodlivého kódu potvrzuje očekávání expertů, kteří jej označují za jednoho z možných nástupců slábnoucího spywaru Agent Tesla.

Zatímco ještě v lednu na prvním místě pravidelné statistiky pro operační systém Windows v Česku figuroval infostealer Formbook, v únoru už tuto pozici obsadil škodlivý kód Agent.AES. Podobně jako infostealer Formbook je i tento škodlivý kód označován za potenciálního nástupce spywaru Agent Tesla, který začal slábnout a postupně ustupovat z čela statistiky na konci loňského roku.

„Malware Agent.AES řadíme opět mezi infostealery, jejichž prostřednictvím se útočníci již několik let pravidelně zaměřují na české uživatele a uživatelky. Tento škodlivý kód lze najít i pod názvem Snake Keylogger. Typickým chováním keyloggeru je zaznamenávání stisků kláves na klávesnici, dokáže ale odcizit data dalšími způsoby, které jsou typické pro tento typ škodlivých kódů. Útočníci jej neustále vyvíjejí – řetězí jeho kód s odkazem na slovo had v jeho názvu – a stále úspěšněji jej ukrývají před odhalením,“ vysvětlil Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.

Keylogger byl nejvíce aktivní 14. a 20. února. Jako ostatní škodlivé kódy pro operační systém Windows jej útočníci šířili v infikovaných e-mailových přílohách. Nejčastěji šlo o přílohy s anglickými názvy „Payment Erro.exe“ a „Bank Transfer Form.exe“. Třetí nejčastěji zastoupenou škodlivou přílohou byl spustitelný soubor se slovenským názvem „Potvrdenie platby.exe“.

„Během několika měsíců se nám na předních příčkách statistiky střídají možní nástupci spywaru Agent Tesla. Lze očekávat, že budeme ještě nějaký čas oscilovat mezi infostealery Formbook a Agent.AES jako největší kybernetickou hrozbou pro uživatele operačního systému Windows v Česku. Ať už jeden, nebo druhý – v hledáčku útočníků nadále zůstávají naše přihlašovací údaje, hesla a další velmi cenná data. Útočníci dokážou s využitím keyloggeru odcizit hesla z komunikačních platforem nebo e-mailových klientů, z FTP, webových prohlížečů nebo bezdrátových sítí. Odcizená data mohou následně díky keyloggeru odesílat přes e-mail, FTP nebo dokonce prostřednictvím komunikační platformy Telegram. Naše doporučení tak zůstávají stejná – nepodceňovat hrozby šířící se elektronickou komunikací, tvořit silná a unikátní hesla pro své online účty a spravovat je pomocí šifrovaných správců hesel,“ uvedl Jirkal.

Kyberútočníci „recyklují“ staré škodlivé kódy

Ještě v lednu představovaly detekce infostealeru Formbook více než 40 % všech zachycených případů v Česku. V únoru se však tento škodlivý kód propadl na hodnotu necelých deseti procent všech zachycených případů. Škodlivý kód Agent Tesla se nadále drží na hodnotě okolo tří procent případů v Česku.

„Infostealer Formbook, jak také naznačuje propad počtu případů z února, nestál tentokrát za žádnou výraznější útočnou kampaní. V případě škodlivého kódu Agent Tesla se opět objevily e-mailové přílohy s českými názvy, které uživatelé a uživatelky pravidelně vídali v minulých letech. Domníváme se, že se jedná o starší kampaně, které mohou být ale nadále funkční. Přestože vývoj tohoto škodlivého kódu jeho autor ukončil, starší verze mohou vlastnit útočníci, kteří jej v minulosti koupili na černém trhu. Tyto staré verze mohou dál bez omezení využívat a škodlivý kód pouze schovávat do nových verzí příloh. Proto je zatím příliš brzy mluvit o tom, že škodlivý kód Agent Tesla již nepředstavuje pro uživatele a uživatelky v Česku žádnou hrozbu,“ uzavřel Martin Jirkal z ESETu.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2025:

1. MSIL/Spy.Agent.AES trojan (25,3 %)
2. Win32/Formbook trojan (8,27 %)
3. MSIL/Spy.AgentTesla trojan (3,32 %)
4. Win32/PSW.Fareit trojan (3,31 %)
5. Win32/Fynloski trojan (1,33 %)
6. Win64/Rozena trojan (1,29 %)
7. Win32/AutoRun.Delf.LV worm (1,25 %)
8. Win32/Rescoms trojan (1,19 %)
9. Win32/VB.OSK trojan (0,96 %)
10. VBS/Agent.SSZ trojan (0,96 %)