FakeUpdates yhä Suomen yleisin haittaohjelma - maaliskuussa paljastui uusi hyökkäyskampanja, jossa haittaohjelmaa käytettiin

Janne Yli-Korhonen
14. huhtikuuta, 2025 17:16

Kyberturvallisuusratkaisujen tarjoaja Check Point Software Technologies julkisti maaliskuun 2025 haittaohjelmakatsauksensa.
Raportin mukaan FakeUpdates pitää sekä Suomen että maailman yleisimmän haittaohjelman kärkipaikkaa. FakeUpdates on ollut kärjessä tai kärjen tuntumassa jo kuukausien ajan.

FakeUpdates on JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista, ja levittää muita haittaohjelmia.
Maaliskuussa tutkijat havaitsivat uuden hyökkäyskampanjan, jossa FakeUpdatesia hyödynnettiin RansomHub-kiristysohjelman levittämiseen. Hyökkäyksissä hyödynnettiin murrettuja verkkosivustoja, väärennettyjä Keitaro TDS -uudelleenohjauksia ja tekaistuja selaimen päivityskehotuksia, joiden avulla uhreja houkuteltiin lataamaan haittaohjelma.

Check Pointin mukaan FakeUpdatesin JavaScript-lataajan koodi on tehty erittäin vaikealukuiseksi ja koodi mahdollistaa tiedon varastamisen, komentojen suorittamisen sekä pysyvän pääsyn uhrin järjestelmiin. Tutkijoiden mukaan rikolliset käyttävät yhä useammin hyväkseen laillisia palveluita, kuten Dropboxia ja TryCloudflarea, välttääkseen havaitsemisen ja säilyttääkseen pääsyn kohteisiin.

Check Point nostaa esille maaliskuun osalta esille myös laajan Lumma Stealer -haittaohjelmaan liittyvän tietojenkalastelukampanjan, joka vaaransi yli 1 150 organisaatiota ja 7 000 käyttäjää Pohjois-Amerikassa, Etelä-Euroopassa ja Aasiassa. Hyökkäyksissä jaeltiin lähes 5 000 haitallista PDF-tiedostoa Webflown sisällönjakeluverkon kautta.

Rikolliset käyttivät tiedostoissa väärennettyjä CAPTCHA-kuvia, joiden avulla käynnistettiin PowerShell-komentoja ja asennettiin haittaohjelma. Tutkijat yhdistivät Lumma Stealerin myös esimerkiksi väärennettyihin Roblox-peleihin.

"Kyberrikolliset mukauttavat jatkuvasti toimintatapojaan ja hyödyntävät yhä useammin laillisia alustoja haittaohjelmien levitykseen ja tunnistuksen välttämiseen. Organisaatioiden on tärkeää pysyä valppaina ja ottaa käyttöön ennakoivia tietoturvatoimia tällaisten kehittyvien uhkien torjumiseksi", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat maaliskuussa 2025

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6,49 %.
2. RomCom – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2022 ja kohdistuu erityisesti Windows-järjestelmiin. Se leviää tietojenkalastelukampanjoissa, joissa hyödynnetään troijalaisiksi muokattuja versioita laillisista ohjelmistoista. RomCom käyttää ICMP-pohjaista komento- ja ohjausliikennettä (C2). Haittaohjelma on yhdistetty uhkatoimijaryhmiin, kuten "Tropical Scorpius". Kohteina ovat olleet muun muassa Ukrainan sotilaslaitokset ja Yhdysvaltojen terveydenhuoltoalan organisaatiot. Esiintyvyys 1,30 %.
3. Raspberry Robin – Mato, joka havaittiin ensimmäisen kerran vuonna 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 1,30 %.
4. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 1,30 %.
5. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilien tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 1,30 %.

Maaliskuussa RansomHub oli aktiivisin kiristyshaittaohjelmaryhmä ja vastasi 12 prosentista julkaistuista hyökkäyksistä. RansomHub nähtävästi nousi kärkeen juurikin FakeUpdatesin avulla. Aggressiivisista kampanjoistaan tunnettu RansomHub kohdistaa hyökkäyksiään muun muassa VMware ESXi -järjestelmiin ja käyttää edistyneitä salausmenetelmiä.

Toisena on Qilin ja kolmantena Akira.

Qilin on kiristysohjelmapalveluna toimiva rikollisoperaatio, joka salaa ja varastaa tietoja. Akira on kiristyshaittaohjelmaryhmä, joka kohdistuu Windows- ja Linux-järjestelmiin. Ryhmä on yhdistetty tietojenkalastelukampanjoihin ja VPN-päätelaitteiden haavoittuvuuksien hyväksikäyttöön, mikä tekee siitä merkittävän uhan organisaatioille. Vuosi sitten Akiran kohteeksi joutui kymmenen organisaatiota Suomessa.