Qbot edelleen Suomen yleisin haitake - Yhden haittaohjelman kehittynyt tekniikka on merkittävä uhka käyttäjille ja yrityksille

Janne Yli-Korhonen
12. kesäkuuta, 2023 17:00

Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut toukokuun 2023 haittaohjelmakatsauksensa.
CPR:n mukaan Suomen ja koko maailman yleisin haittaohjelma toukokuussa oli Qbot-pankkitroijalainen. Qbot on hallinnut listan kärkipaikkaa jo jonkin aikaa.

Uhrin pankkitunnuksia varastavaa ja näppäinpainalluksia tallentavaa Qbotia levitetään yleensä roskapostiviestien välityksellä. Sen leviämistä on yritetty hidastaa estämällä Office-tiedostojen makrot, mutta Qbot-toimijat ovat mukauttaneet nopeasti haittaohjelman jakelua ja toimitusta. Sen on hiljattain havaittu hyödyntävän Windows 10:n WordPad-ohjelman DLL-virhettä (Dynamic Link Library) tietokoneiden tartuttamiseksi.
Toukokuun osalta CPR nostaa esille uuden shellcode-pohjaisen GuLoader-haittaohjelman version, joka oli toukokuun neljänneksi yleisin haittaohjelma maailmalla. Suomen listalla tämä ei esiinny.

GuLoaderin avulla hyökättyyn laitteeseen voidaan asentaan muita haittaohjelmia.

CPR kertoo, että virustorjunnan ohittamiseen käytettävää GuLoader-haittaohjelmaan on tehty merkittäviä muutoksia.

Viimeisimmässä versiossa käytetään kehittynyttä tekniikkaa, jossa haittaohjelma korvaa koodin laillisessa prosessissa. Tämä tekniikka auttaa sitä välttämään tietoturvatyökaluja, jotka seuraavat prosesseja.

Haittaohjelman kuormat ovat täysin salattuja ja ne on tallennettu havaitsemattomina tunnettuihin julkisiin pilvipalveluihin, kuten Google Driveen.

CRP:n mukaan tämä ainutlaatuinen yhdistelmä salausta, raakaa binäärimuotoa ja lataajasta erottelua tekee haittaohjelman kuormista näkymättömiä virustorjuntaohjelmille. Tämä on merkittävä uhka käyttäjille ja yrityksille ympäri maailmaa.

"Verkkorikolliset käyttävät yhä useammin julkisia työkaluja ja palveluja haittaohjelmakampanjoiden levittämiseen. Lähteen luotettavuus ei enää takaa täyttä turvaa," sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat toukokuussa 2023

1. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 4,37 %.
2. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 3,93 %.
3. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,62 %.
4. XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 2,18 %.
5. –10. Injuke, NJRat, GhOst, Formbook, Esfury, Zegost– Kaikkien esiintyvyys 1,31 %.