28. januára 2026 • 2m čítanie

Emailom sa šíri falošný dokument, neotvárajte ho

Emailom môžete dostať dokument, ktorý sa bude tváriť ako bežná zmluva.

Ide o phishingovú kampaň cielenú najmä na slovenských používateľov. Bezpečnostná spoločnosť ESET v januári odhalila tento útok a blokuje ho pomocou svojich bezpečnostných riešení.

Kód sa šíril prostredníctvom emailov s falošnou výzvou na podpis zmluvy. Bol zachytený na tisíckach zariadení ešte skôr, než stihol infikovať operačný systém. Podobné kampane sa v rovnakom období šírili aj v ďalších európskych krajinách.

Útočníci sa podľa zistení ESET-u spoliehali na jednoduchý, no masový prístup. Príjemcom prišla správa s krátkym textom vyzývajúcim na stiahnutie a podpísanie priloženej zmluvy. Email na pohľad nepôsobil, akoby pochádzal z falošnej emailovej adresy, avšak zrejme pochádzal z hacknutej domény zneužitej na tento účel. Podvod tohto typu cielil najmä na používateľov vo firmách, ktorí si dokumenty posielajú bežne.

Škodlivý kód ako služba

Analyzovanie kódu ukázalo, že išlo o malvér CloudEyE. Je to aktuálne rozšírený nástroj typu downloader a cryptor a je dostupný v modeli malware-as-a-service. Hackeri si môžu jeho služby kúpiť a prispôsobiť.

Jeho úlohou je skryť skutočný škodlivý kód, napríklad na krádež citlivých údajov alebo ďalšiu kompromitáciu systému. CloudEyE využíva viacstupňový mechanizmus a v úvodnej fáze sa často šíri pomocou skriptov, ako sú PowerShell alebo JavaScript, pričom jednotlivé kroky maskuje.

Emailová príloha vás oklame

V konkrétnej kampani bola príloha vydávaná za archív s názvom 2026-13-01-0273.tar, ktorý po otvorení obsahoval súbor 2026-13-01-0273.js. Na základe podobností s paralelnými útokmi v iných krajinách je vysoká pravdepodobnosť, že konečným cieľom bolo šírenie škodlivého kódu Agent Tesla. Tento kód je známy krádežou širokého spektra dát. Hoci jeho pôvodní vývojári už malvér neudržiavajú, v praxi sa stále šíria staršie verzie, ktoré útočníci aktívne zneužívajú.

Zdroj: ESET

Prečítajte si aj: