Qbot säilytti kärkipaikan elokuussa, vaikka FBI otti bottiverkon haltuunsa - Uusi Shampoo-kampanja piinaa Chrome-selaimen käyttäjiä
Janne Yli-Korhonen
12. syyskuuta, 2023 12:23
Elokuun 2023 haittaohjelmakatsaus on julkaistu tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaavan Check Point Researchin (CPR) toimesta.
CPR kertoo, että Suomessa ja maailmalla yleisin haittaohjelma elokuussa oli Qbot eli Qakbot, joka on hallinnut kärkipaikkaa useamman kuukauden ajan.
Qbotin aika pitäisi nyt kuitenkin olla ohitse, sillä elokuussa FBI ilmoitti onnistuneensa merkittävässä globaalissa operaatiossaan Qbotia vastaan. Operation Duck Huntissa FBI otti bottiverkon hallintaansa ja poisti haittaohjelman tartunnan saaneilta laitteilta, joita oli merkittävä määrä.
Qbot on CPR:n mukaan pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä.
"QBotin kaataminen oli merkittävä edistysaskel taistelussa kyberrikollisuutta vastaan. Emme kuitenkaan voi levätä laakereillamme, sillä kun yksi kaatuu, toinen nousee väistämättä sen tilalle. Meidän kaikkien tulee pysyä valppaina, työskennellä yhdessä ja jatkaa hyvien tietoturvakäytäntöjen harjoittamista kaikilla hyökkäysvektoreilla", sanoo VP Research Maya Horowitz Check Point Softwarelta.
Elokuun osalta CPR nostaa esille Chrome-selaimen käyttäjiin kohdistuvan uuden ChromeLoader-kampanjan nimeltä Shampoo.
Se levittää haitallisia selainlaajennuksia sisältäviä mainoksia. ChromeLoader-selainkaappari havaittiin ensimmäistä kertaa vuonna 2022.
Shampoo-kampanjassa uhrit huijataan suorittamaan VBScript-tiedostoja, jotka asentavat haitallisia Chrome-laajennuksia. Haitallisia tiedostoja päätyi koneelle lähinnä laittomasti ladattujen sisältöjen mukana.
Asennettuina ne voivat kerätä henkilökohtaisia tietoja ja häiritä selaamista ei-toivotuilla mainoksilla.
ChromeLoader oli elokuussa sijalla 10
maailman osalta, mutta Suomen listalla sitä ei esiinny.
Suomen listalla esille nousee Fakeupdates (eli SocGholish), joka on nyt toisena Suomen osalta ja kolmanneksi yleisin maailman osalta.
Heinäkuussa Fakeupdates ei ollut listalla ollenkaan, ja maailman osalta se oli tuolloin kahdeksantena.
CPR:n mukaan Fakeupdates on JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen.
Suomen yleisimmät haittaohjelmat elokuussa 2023
- Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3,75 %.
- Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,08 %.
- Nanocore – Windows-käyttöjärjestelmän käyttäjille suunnattu etäkäyttötroijalainen, joka havaittiin ensimmäisen kerran vuonna 2013. Se kykenee esimerkiksi näytön kaappauksiin, kryptovaluutan louhintaan ja verkkokameraistuntojen varkauksiin. Esiintyvyys 1,25 %.
- Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,25 %.
- –10. Adrd, Remcos, Ksapp, NJRat, Pidief, Pony – Kaikkien esiintyvyys 0,83 %.