Škodlivý kód CloudEyE je zpět, v lednu se v Česku objevil ve dvou třetinách všech útoků

Největší lednovou kybernetickou hrozbou pro operační systém Windows byl v Česku opět malware CloudEyE. Útoky byly tentokrát připravené přímo pro české uživatele a uživatelky. Zatímco bezpečnostní experti zachytili tento škodlivý kód v bezmála dvou třetinách všech případů, zaznamenali zároveň větší propad u infostealeru Formbook, který českému prostředí hrozeb pravidelně dominuje. K nějakému výraznému zvratu ve skladbě kyberhrozeb u nás ale dle nich nedochází – infostealer Formbook a řadu dalších hrozeb totiž skrytě šíří právě škodlivý kód CloudEyE. Vyplývá to z pravidelné analýzy detekčních dat společnosti ESET.

Zatímco ještě na konci roku klesly případy malwaru CloudEyE na necelých 7 procent, hned zkraje ledna se jeho přítomnost v Česku skokově zvýšila.

„Nárůst případů škodlivého kódu CloudEyE jsme zaznamenali už během loňského listopadu. Tehdy se objevil s podílem pětiny všech zachycených detekcí. V prosinci se ale zase poměrně výrazně propadl. V lednu jsme jej opět zachytili s dramatickým nárůstem, a to v několika vlnách útoků na větší část Evropy,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET. „Česká republika byla v lednu mezi vybranými zeměmi, na které se útočníci spolu s tímto malwarem zaměřili. Podobně jako infostealer Formbook ho šíří v e-mailových spamových kampaních a ukrývají pod přílohy s názvy, kterými chtějí upoutat naši pozornost a přimět nás k jejich stažení a otevření. Hlavním úkolem tohoto škodlivého kódu je dostat do počítače jiný malware. Velmi často se jedná právě o infostealery určené ke krádežím osobních dat, především hesel. K tomu všemu má úroveň nebezpečí v podobě škodlivého kódu CloudEyE ještě jeden rozměr, na který bychom neměli zapomínat – jako nástroj je na černém trhu dostupný ke koupi jakémukoli útočníkovi, který může do našich zařízení nasadit škodlivý kód, který se mu zrovna bude hodit,“ dodává Jirkal z ESETu.

Škodlivé přílohy, které ukrývaly malware CloudEyE, měly v lednu názvy „2026-13-01-0273.js“, „IMG2026-01-15-3472.js“ nebo „SMLOUVA.js“. V České republice se pak objevovaly také přílohy pojmenované jako „Rozsah prací pro nabídky“. Malware CloudEyE v našem prostředí standardně šíří škodlivé kódy Agent Tesla, Rescoms či Formbook.

„Na základě naší lednové statistiky se může zdát, že infostealer Formbook, který byl v loňském roce největší kyberhrozbou v Česku, nahradil právě CloudEyE. Není to ale bohužel tak jednoduché. Spíše vidíme, že útočníci začali infostealer Formbook schovávat pod jiné škodlivé kódy, aby podpořili jeho šíření. Z tohoto důvodu tak nemůžeme říct, že by se stával méně nebezpečným, spíše naopak,“ vysvětluje Jirkal a dodává: „Hesla zcela jednoznačně zůstávají lovnou zvěří útočníků i v letošním roce. Jejich metody se navíc vyvíjejí s tím, jak jim s generováním podvodných e-mailových zpráv a názvů v různých jazycích mohou pomáhat nástroje umělé inteligence. Určitě je tak na místě nepodceňovat základy bezpečného nakládání s našimi hesly – tvořit ideálně dostatečně dlouhá hesla obsahující znaky, číslice, velká a malá písmena, pro každý svůj účet mít unikátní heslo, které již nikde znovu nepoužívám, a neukládat je nikam do souborů v počítači ani do internetových prohlížečů.“

Hesla neohrožují jen infostealery

I přestože se škodlivý kód Agent.RIB v lednu objevil jen v několika procentech případů, jeho přítomnost na předních místech statistiky upoutala pozornost bezpečnostních expertů. Je totiž dalším příkladem, jak mohou útočníci získávat naše hesla a přístup k účtům. Nejedná se přitom o pokročilý škodlivý kód, jako jsou infostealery.

„Agent.RIB je opravdu velmi jednoduchý škodlivý kód, přesným opakem toho, co v našich pravidelných statistikách kyberhrozeb vídáme. Útočníci ho také šířili e-mailem. Ve zprávě odeslali svým obětem HTML soubor v příloze, který po otevření načetl webovou stránku s formulářem pro zadání přihlašovacího jména a hesla. Jakmile se tak stalo, údaje se odeslaly útočníkovi na platformu Telegram. Útok již pak nijak nepokračoval, šlo zcela evidentně jen o sběr uživatelských hesel. Ty pak útočník může využít k získání přístupu k našim účtům, například pomocí útoku nazývaného credential stuffing. Pomocí speciálního softwaru mohou útočníci zadat získaná přihlašovací jména a hesla do velkého množství webových stránek. Riziko prolomení je v těchto případech největší u takových účtů, u kterých používáme opakovaně stejná hesla a nemáme u nich nastavené vícefázové ověření,“ říká Jirkal z ESETu.

Kromě obezřetnosti u příchozí e-mailové komunikace je nedílnou součástí ochrany našich dat moderní bezpečnostní software , který dokáže zamezit přístupu škodlivého kódu do našeho zařízení. Škodlivý e-mail dokáže včas rozpoznat a přesune jej do bezpečné složky, kterou za tímto účelem vytvoří. V předmětu e‑mailu pak uživatelé uvidí, že se jedná o hrozbu. Zprávu si mohou následně ve vytvořené složce prohlédnout a smazat.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za leden 2026:

1. PowerShell/CloudEyE trojan (61,86 %)

2. JS/Agent.RIB trojan (3,16 %)

3. Win32/Formbook trojan (3,02 %)

4. VBS/Agent.TGD trojan (2,81 %)

5. Win64/Aotera trojan (2,19 %)

6. MSIL/Spy.AgentTesla trojan (2,00 %)

7. Win64/Filecoder trojan (0,81 %)

8. Win32/Expiro virus (0,74 %)

9. MSIL/Cassandra trojan (0,64 %)

10. MSIL/Spy.Agent.AES trojan (0,59 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.