Pankkitroijalainen on nyt Suomen yleisin haittaohjelma
Janne Yli-Korhonen
16. helmikuuta, 2023 20:03
Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut tammikuun 2023 haittaohjelmakatsauksensa.
Tammikuun osalta CPR nostaa esille Vidar-haittaohjelman, joka nousi maailman yleisimpien haittaohjelmien listalle sekä Lähi-idän ja Pohjois-Afrikan laajan njRAT -tietojenkalastelukampanjan.
Vidar on Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista.
Tammikuun aikana Vidar levisi väärennettyjen verkkotunnusten avulla. Haittaohjelma ohjasi useiden suosittujen sovellusten käyttäjiä AnyDesk-yhtiön viralliseksi sivustoksi naamioituneeseen IP-osoitteeseen. Kun käyttäjä oli ladannut oikealta asennusohjelmalta vaikuttavan haittaohjelman, se varasti uhrinsa arkaluonteisia tietoja, kuten kirjautumistunnuksia, salasanoja, kryptovaluuttalompakon tietoja ja pankkitietoja.
Maailmalla Vidar oli tammikuussa seitsemänneksi yleisin haittaohjelma ja Suomessa kuudenneksi yleisin.
"Jälleen kerran saimme huomata, että haittaohjelmia levittävät tahot hyödyntävät luotettuja brändejä tarkoituksenaan varastaa henkilökohtaisia tunnistetietoja. On erittäin tärkeää kiinnittää huomiota klikkaamiinsa linkkeihin ja varmistaa niiden aitous. Tarkista, että selaimen osoiterivissä on riippulukkokuvake, joka osoittaa ajantasaisen SSL-sertifikaatin, ja tarkkaile pieniä kirjoitusvirheitä, jotka voivat viitata siihen, että sivusto on haitallinen", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.
Suomen ja koko maailman yritysverkkojen ykkönen oli haittaohjelma Qbot.
Qbot on pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä.
Qbot oli
joulukuussa Suomen kolmanneksi yleisin haittaohjelma ja
marraskuussa se löytyi listan pohjalta.
CPR:n tutkijat havaitsivat tammikuun aikana Lähi-idässä ja Pohjois-Afrikassa tapahtuvan laajan Earth Bogle -kampanjan, joka levitti njRAT-troijalaista kohteisiin. Myös Suomessa kyseistä troijalaista esiintyi tammikuussa, sillä se ylsi neljänneksi.
Hyökkääjät houkuttelivat uhrejaan geopoliittisia teemoja sisältävillä tietojenkalastelusähköposteilla. Niiden pyrkimyksenä oli saada heidät avaamaan haitallisia liitteitä, minkä jälkeen haittaohjelma pystyi varastamaan arkaluonteista tietoa tartunnan saaneilta laitteilta.
Suomen yleisimmät haittaohjelmat tammikuussa 2023
- Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3,33 %.
- XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 2,78 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,22 %.
- NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 2,2 %.
- GhOst – Backdoor.Win32.Ghost on Windows-alustaan kohdistuva takaportti. Haittaohjelma on suunniteltu antamaan hyökkääjälle tartunnan saaneen tietokoneen etähallinta. Esiintyvyys 1,67 %.
- Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,67 %.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,11 %.
- Nanocore – NanoCore on Windows-käyttöjärjestelmän käyttäjille suunnattu etäkäyttötroijalainen, joka havaittiin ensimmäisen kerran vuonna 2013. Se kykenee esimerkiksi näytön kaappauksiin, kryptovaluutan louhintaan ja verkkokameraistuntojen varkauksiin. Esiintyvyys 1,11 %.
- Danabot – Modulaarinen pankkitroijalainen, joka on suunnattu Windows-alustalle. Haittaohjelma havaittiin ensimmäisen kerran vuonna 2018 ja se leviää roskapostien kautta. Esiintyvyys 1,11 %.
- Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 1,11 %.