FakeUpdates jatkaa yleisimpänä haittaohjelmana - Etähallintatroijalainen AsyncRAT leviää Discord-kutsulinkkeinä

Janne Yli-Korhonen
10. heinäkuuta, 2025 16:52

Kyberturvallisuusalustojen tarjoaja Check Point Software Technologies julkisti kesäkuun 2025 haittaohjelmakatsauksensa.
Ykköspaikkaa pitää edelleen niin Suomessa kuin maailmalla FakeUpdates, joka on ollut kärjessä tai kärjen tuntumassa jo useamman kuukauden ajan. FakeUpdates yhdistetään venäläiseen Evil Corp -harkkeriryhmään. FakeUpdatesin avulla levitetään muita haittaohjelmia saastuneisiin laitteisiin.

Kesäkuun ajalta merkittävin havainto liittyy AsyncRAT -etähallintatroijalaiseen. Helmikuussa Check Point totesi, että AsyncRATista on nopeasti kehittymässä merkittävä kyberuhka.
Uudessa kampanjassa AsyncRAT levisi Discord-palvelun kutsulinkkeinä. AsyncRAT mahdollistaa hyökkääjien etäyhteyden ja hallinnan tartunnan saaneisiin järjestelmiin.

Maailmalla AsyncRAT nousi kolmanneksi kesäkuussa, mutta Suomessa se ei yltänyt yleisimpien haittaohjelmien listalle.

Lisäksi Check Point nostaa esille Qilin-lunnasohjelmaryhmän, joka on yhä merkittävä toimija kyberrikollisuuden kentällä. Ryhmä kohdistaa hyökkäyksiään erityisesti suuriin yrityksiin terveydenhuollon ja koulutuksen aloilla. Qilin leviää yleensä haitallisia linkkejä sisältävien tietojenkalasteluviestien kautta. Saatuaan pääsyn verkkoon se pyrkii viemään arkaluonteista tietoa ja laajentamaan pääsyään verkon sisällä salattavan datan löytämiseksi.

"Havaitsemamme AsyncRAT-kampanja ja FakeUpdatesin jatkunut hallitseva asema osoittavat kyberhyökkäysten kasvavan monimutkaisuuden. Qilinin kaltaisten merkittävien lunnasohjelmaryhmien myötä näemme entistä kohdennetumpia ja hienostuneempia lähestymistapoja datan varastamiseen ja salaamiseen. Organisaatioiden on toimittava ennakoivasti puolustuksessaan hyödyntämällä reaaliaikaista uhkatiedustelua ja kokonaisvaltaisia tietoturvastrategioita", sanoo Lotem Finkelstein, Director of Threat Intelligence at Check Point Software.

Suomen yleisimmät haittaohjelmat kesäkuussa 2025

1. FakeUpdates (eli SocGholish) – JavaScript-kielellä kirjoitettu latausohjelma, joka huijaa käyttäjiä asentamaan tekaistuja selainpäivityksiä. Tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista ja toimii väylänä muun muassa GootLoaderin, Dridexin ja AZORultin kaltaisille haittaohjelmille. Esiintyvyys 0,87 %.
2. Raspberry Robin – Mato, joka havaittiin ensimmäisen kerran vuonna 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 0,43 %.
3. Explosive – Explosive on räätälöity etähallintatyökalu, jota Volatile Cedar -APT-ryhmä on käyttänyt vuodesta 2015 lähtien säilyttääkseen luvattoman hallinnan tartunnan saaneisiin järjestelmiin. Se kommunikoi HTTP-protokollalla käyttäen RC4-salausta, tallentaa näppäinpainalluksia saadakseen ylläpitäjän tunnistetietoja, tarkistaa USB-asemat suoritettavien tiedostojen varalta ja lataa lisähaittaohjelmia toimintojensa laajentamiseksi. Lisäksi Explosive varmistaa pysyvyyden muuttamalla rekisteriarvoja, piilottamalla tiedostonsa ja keräämällä järjestelmätietoja, kuten tietokoneen nimiä, MAC-osoitteita ja käyttäjätunnuksia, tukeakseen kohdennettuja ja huomaamattomia operaatioita. Esiintyvyys 0,43 %
4. Powerstats, Dynamer, Androxgh0st, PikaBot, QHost – Kaikkien haittaohjelmien esiintyvyys 0,43 %.