Muita haittaohjelmia levittäjä FakeUpdates edelleen Suomen yleisin haittaohjelma

Janne Yli-Korhonen
14. toukokuuta, 2025 18:44

Check Point Software Technologies on julkaissut huhtikuun 2025 haittaohjelmakatsauksensa. Raportin mukaan FakeUpdates jatkoi maailman yleisimpänä haittaohjelmana, vaikuttaen 6 prosenttiin organisaatioista maailmanlaajuisesti. Suomessa sen esiintyvyys oli 4,02 prosenttia. FakeUpdates on ollut kärjessä tai kärjen tuntumassa jo useamman kuukauden ajan.
Check Pointin mukaan FakeUpdates on merkittävä kyberuhka ja keskeinen väline kiristyshaittaohjelmahyökkäyksissä. FakeUpdates levittää muita haittaohjelmia.

Katsauksessa nostetaan esille huhtikuun osalta kehittynyt monivaiheinen hyökkäyskampanja, jossa käytettiin AgentTesla-, Remcos- ja Xloader-haittaohjelmia.
Check Pointin mukaan hyökkäykset käynnistyivät tietojenkalastelusähköposteilla, jotka oli naamioitu tilausvahvistuksiksi ja sisälsivät haitallisen 7-Zip-arkiston. Arkistossa ollut JScript Encoded (.JSE) -tiedosto käynnisti Base64-koodatun PowerShell-komennon, joka puolestaan johti .NET- tai AutoIt-pohjaisen haittaohjelman suorittamiseen.

Lopullinen haittakoodi ujutettiin laillisiin Windows-prosesseihin, kuten RegAsm.exe tai RegSvcs.exe, mikä teki sen havaitsemisesta erittäin haastavaa.

Tutkijoiden mukaan kyseessä on esimerkki kyberrikollisuuden kehittyvästä suuntauksesta, jossa aiemmin yksinkertaiset haittaohjelmat, kuten AgentTesla ja Remcos, integroidaan monimutkaisiin hyökkäysketjuihin. Näissä hyödynnetään edistyneitä tekniikoita, jotka muistuttavat valtiollisten toimijoiden toimintaa ja hämärtävät rajaa taloudellisten ja poliittisten uhkien välillä.

"Tämä kampanja osoittaa selvästi, kuinka monimutkaisiksi kyberuhat ovat kehittyneet. Hyökkääjät yhdistelevät koodattuja komentosarjoja, laillisia prosesseja ja kerroksellisia toteutuksia pysyäkseen näkymättömissä. Aiemmin vähäpätöisinä pidetyt haittaohjelmat voivat nyt olla osa erittäin kehittyneitä hyökkäyksiä. Organisaatioiden on tärkeää siirtyä ennakoivaan suojausmalliin, joka hyödyntää reaaliaikaista uhkatietoa, tekoälyä ja käyttäytymisanalytiikkaa", sanoo Check Point Softwaren uhkatiedustelun johtaja Lotem Finkelstein.

Suomen yleisimmät haittaohjelmat huhtikuussa 2025

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka huijaa käyttäjiä asentamaan tekaistuja selainpäivityksiä. Tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista ja toimii väylänä muun muassa GootLoaderin, Dridexin ja AZORultin kaltaisille haittaohjelmille. Esiintyvyys 4,02 %.
2. Androxgh0st – Pythonilla kirjoitettu bottiverkkohaittaohjelma, joka hyödyntää mm. Laravel- ja Apache-järjestelmien haavoittuvuuksia. Se varastaa arkaluonteisia tietoja kuten AWS-avaimia ja Twilio-tunnuksia, ja sitä käytetään usein pilvipalveluiden väärinkäyttöön. Esiintyvyys 1,79 %.
3. Shiz – Windows-järjestelmiin kohdistuva takaovi, joka piiloutuu laillisiin prosesseihin. Shiz voi varastaa käyttäjätietoja ja älykorttitietoja sekä vastaanottaa komentoja etäpalvelimelta. Esiintyvyys 0,89 %.
4. AsyncRat – Etähallintatroijalainen (RAT), joka kerää tietoja järjestelmästä ja suorittaa komentoja, kuten prosessien tappaminen ja näyttökuvien ottaminen. Se leviää usein tietojenkalastelun kautta. Esiintyvyys 0,89 %.
5. Wacatac – Troijalainen, joka lukitsee tiedostoja muuttamalla niiden nimiä, mutta ei varsinaisesti salaa niitä kuten kiristyshaittaohjelmat. Yleensä leviää roskapostien ja tekaistujen ohjelmien mukana. Esiintyvyys 0,45 %.

Kiristysryhmien osalta huhtikuussa havaittiin ensimmäistä kertaa uusi kiristyshaittaohjelmaryhmä nimeltä SatanLock. Ryhmä on ilmoittanut 67 uhrista, mutta yli 65 prosenttia näistä tapauksista on aiemmin yhdistetty muiden rikollisryhmien hyökkäyksiin. Aktiivisin ryhmä oli Akira, joka vastasi 11 prosentista julkaistuista hyökkäyksistä.