Etäkäyttötroijalaiset tekivät paluun Suomen yleisimpien haittaohjelmien listalle

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoajan, Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut maaliskuun 2024 haittaohjelmakatsauksensa.

Suomessa yleisin haittaohjelma maaliskuussa oli FakeUpdates-latausohjelma, joka on hallinnut kärkeä jo useamman kuukauden ajan. Myös maailman osalta kyseinen haittaohjelma löytyy ykköspaikalta.

Sen esiintyvyys kasvoi Suomessa helmikuusta maaliskuuhun 1,38 prosentista peräti 3,4 prosenttiin. Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se käyttää JavaScript-pohjaisia haittaohjelmia kohdistaakseen hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.

Maaliskuun osalta CPR nostaa esille etäkäyttötroijalaiset (Remote Access Trojan, RAT).

Suomen osalta sellaisia löytyy Top 10 -listalta kolme kappaletta: AgentTesla, AsyncRAT ja NJRat.

Check Pointin tutkijat saivat maaliskuussa selville, että hakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä.

Aiemmin ensimmäisen kerran vuonna 2016 havaittua Remcosia on levitetty roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana.

CPR:n mukaan Remcos on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Remcos oli alun perin laillinen työkalu Windows-järjestelmien etähallintaan, mutta verkkorikolliset alkoivat pian hyödyntää työkalun kykyä tartuttaa laitteita, ottaa kuvakaappauksia, tallentaa näppäinpainalluksia ja lähettää kerättyjä tietoja nimetyille isäntäpalvelimille.

Lisäksi tämä troijalainen sisältää massapostitustoiminnon, jolla voidaan toteuttaa jakelukampanjoita, ja sen eri toimintoja voidaan käyttää bottiverkkojen luomiseen.

Viime kuussa se nousi neljännelle sijalle globaalissa haittaohjelmalistauksessa. Suomen osalta Remcos ei listalla ole.

Suomen yleisimmät haittaohjelmat maaliskuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 3,40 %.
2. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 2,13 %.
3. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,70 %.
4. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,70 %.
5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,85 %.
6. AsyncRAT – Etäkäyttöön tarkoitettu troijalainen (RAT), joka kykenee valvomaan ja ohjaamaan tietokonejärjestelmiä huomaamattomasti etänä. Viime kuun kuudenneksi yleisin haittaohjelma käyttää piiloutumiseen ja prosessi-injektioiden toteuttamiseen useita eri tiedostomuotoja, kuten PowerShell ja BAT. Esiintyvyys 0,85 %.
7. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 0,85 %.
8. Raspberry Robin – Kehittynyt mato, joka käyttää hyökkäyksissään laillisilta vaikuttavia, mutta tosiasiassa uhrien koneet saastuttavia USB-asemia. Esiintyvyys 0,85 %.
9. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 0,85 %.
10. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 0,85 %.

Check Point listaa kuukauden osalta myös kiristysryhmien kolmen kärjen.

Maaliskuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 12 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat Play 10 prosentilla ja 8Base 9 prosentilla. Kyseinen järjestys on sama kuin se oli helmikuussa.

• haittaohjelma
• Check Point