Ano, stačí jenom otevřít webovou stránku a virus se nainstaluje sám. A antivirus s tím nic neudělá

SocGholish tvořil v posledním čtvrtletí 2024 přes polovinu nejrozšířenějšího malwaru na webu. Stačí mu k tomu kompromitovaná stránka a váš prohlížeč.

Zdroj fotografie: Unsplash

Představte si, že otevřete zpravodajský web, který čtete každý den. Žádný podezřelý odkaz, žádná příloha z e-mailu. Stránka se načte, v pozadí proběhne JavaScript a než antivirus stihne cokoli vyhodnotit, škodlivý kód už testuje váš prohlížeč. Přesně takhle fungují takzvané drive-by download útoky, a v roce 2025 jsou rozšířenější než kdykoli předtím. Recorded Future ve své analýze za první polovinu roku 2025 napočítal 161 aktivně zneužívaných zranitelností, z nichž 42 % mělo veřejně dostupný exploit. Okno mezi zveřejněním díry a jejím zneužitím se zkrátilo na hodiny.

Jak to funguje: stránka jako zbraň

Klasický drive-by exploit funguje tak, že kompromitovaná stránka, nebo škodlivá reklama na jinak legitimním webu, načte obfuskovaný skript. Ten v milisekundách otestuje verzi prohlížeče, operačního systému a nainstalovaných pluginů. Najde-li zranitelnost, spustí shellcode přímo v paměti a stáhne další malware z útočníkovy infrastruktury. Microsoft tento mechanismus popisuje u exploit kitů jako řetězec, který nevyžaduje žádnou interakci uživatele.

Dnešní dominantní kampaň SocGholish přidává ještě jednu vrstvu. Podle analýzy CIS za 4. čtvrtletí 2024 tvořil SocGholish 53 % z deseti nejrozšířenějších malwarových rodin. Funguje jako JavaScript downloader šířený přes kompromitované weby: stránka se načte, spustí škodlivý skript a zobrazí falešnou výzvu k aktualizaci prohlížeče. Kdo klikne, stáhne si payload navázaný na Cobalt Strike, vzdálený přístupový trojan nebo v krajním případě ransomware. Ale i bez kliknutí na falešný update už samotné načtení stránky spouští škodlivý řetězec, přesměrování, fingerprinting a komunikaci s C2 serverem.

Proč antivirus nestíhá první minuty

Tvrzení, že antivirus „s tím nic neudělá“, není doslovně pravda. Chrome Safe Browsing, ochrana Firefoxu proti malwaru, Edge SmartScreen i webové štíty Avastu nebo AVG, všechny tyto vrstvy blokují známé škodlivé URL, soubory a domény. Problém je slovo „známé“.

Drive-by řetězec v první fázi často:

• běží jako exploit a shellcode v paměti, aniž vznikne soubor na disku,
• používá novou, krátce žijící doménu, která ještě není v reputačních seznamech,
• obfuskuje JavaScript tak, že signaturová detekce ho nerozpozná.

Antivirus vidí až artefakt, hash souboru, známou URL, reputaci downloadu. Jenže u čerstvé kampaně tento artefakt ještě neexistuje v databázích. Microsoft u webového exploitu Meadgive přímo uvádí, že upozornění bezpečnostního softwaru může být jediným viditelným symptomem, a to jen pokud vůbec přijde. Největší chyba tedy není mít špatný antivirus. Je spoléhat výhradně na něj.

Ohroženi jsou i mobilní uživatelé

Webové útoky se netýkají jen počítačů s Windows. Apple v bezpečnostním doporučení potvrdil existenci útoků mířících na starší iOS přes škodlivý webový obsah a kompromitované stránky. Android je na tom podobně, i když tam častěji převažuje sociální inženýrství nad čistým zero-click exploitem.

Co se týče českého prostředí: konkrétní veřejný seznam českých domén napadených kampaní SocGholish se nám nepodařilo dohledat. NÚKIB však v roce 2024 evidoval rekordních 268 kybernetických incidentů a ESET v prvním čtvrtletí 2026 označil CloudEyE za největší malwarové riziko pro české uživatele. Tento typ útoku je pro zdejší prostředí zjevně relevantní, chybí jen konkrétní veřejný důkaz pro jednu konkrétní kampaň.

Co udělat hned: pět vrstev místo jedné

Rozhoduje kombinace opatření. Žádné z nich samo o sobě nestačí, ale dohromady dramaticky zužují prostor, kterým se útočník může protáhnout.

• Aktualizace prohlížeče a systému – nejúčinnější jednotlivý krok. Většina drive-by exploitů cílí na známé, již opravené zranitelnosti. Zkontrolujte Chrome, Firefox i Edge, všechny se umí aktualizovat automaticky, ale jen pokud jim to dovolíte.
• Zapnutý Safe Browsing / SmartScreen – v Chrome ideálně režim Enhanced Protection, v Edge ponechat SmartScreen aktivní. Firefox kontroluje weby proti seznamům známého malwaru automaticky.
• DNS filtrování – NextDNS nebo Pi-hole blokují škodlivé domény ještě předtím, než se stránka vůbec načte. NextDNS explicitně uvádí, že nenahrazuje antivirus, ale přidává vrstvu, kterou prohlížeč sám nepokryje.
• Content blocker proti malvertisingu – na Firefoxu plný uBlock Origin, v Chrome oficiální uBlock Origin Lite. Škodlivé reklamy na legitimních webech jsou jedním z hlavních distribučních kanálů.
• Antimalware s Tamper Protection – Windows Defender nebo jiný antivirus s aktivní ochranou proti manipulaci. Ne jako jediná linie obrany, ale jako záchytná síť pro případy, kdy předchozí vrstvy selžou.

Jak poznáte, že už je pozdě

Často nijak. Drive-by infekce je ze své podstaty tichá. Varovným signálem může být nevyžádaný soubor v historii stahování, typicky něco, co vypadá jako „aktualizace prohlížeče“, kterou jste si nevyžádali. Nebo upozornění bezpečnostního softwaru, které přijde s odstupem hodin či dnů, když se nová hrozba dostane do databází.

Pokud máte podezření, spusťte offline scan Windows Defenderem nebo jiným nástrojem, zkontrolujte historii stahování a sledujte neobvyklou síťovou aktivitu. A hlavně: neřešte to až potom. Pět minut věnovaných aktualizacím a nastavení dnes vám může ušetřit týdny řešení následků.

Webový útok roku 2025 nepotřebuje vaši chybu. Potřebuje jen váš neaktualizovaný prohlížeč a trochu štěstí. Nedávejte mu ani jedno.