AfterDawn logo

Nämä olivat heinäkuun yleisimmät haittaohjelmat - Remcosia levitettiin CrowdStriken päivitysongelman kustannuksella

Janne Yli-Korhonen Janne Yli-Korhonen

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut heinäkuun 2024 haittaohjelmakatsauksensa.

Tällä kertaa Check Point Softwaren tietoturvatutkijat havaitsivat, että kyberrikolliset ottivat hyödyn irti CrowdStriken ongelmista.

CrowdStrike Falcon -sensorissa Windowsille havaittu ongelma johti siihen, että verkkorikolliset levittivät haitallista ZIP-tiedostoa nimeltä crowdstrike-hotfix.zip. Tämä tiedosto sisälsi HijackLoader -haittaohjelman, joka myöhemmin aktivoi Remcos -haittaohjelman.

Kampanja kohdistui espanjankielisiä ohjeita käyttäviin yrityksiin, ja siinä hyödynnettiin väärennettyjä verkkotunnuksia tietojenkalasteluhyökkäyksissä. Tästä syystä Suomessa Remcos ei noussut yleisimpien haittaohjelmien listalle.


Remcos on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Remcos oli alun perin laillinen työkalu Windows-järjestelmien etähallintaan, mutta verkkorikolliset alkoivat pian hyödyntää työkalun kykyä tartuttaa laitteita, ottaa kuvakaappauksia, tallentaa näppäinpainalluksia ja lähettää kerättyjä tietoja nimetyille isäntäpalvelimille.

Tutkijat paljastivat myös joukon uusia taktiikoita, joissa hyödynnettiin FakeUpdates -ohjelmaa. FakeUpdates säilytti kärkisijansa haittaohjelmien listalla toista kuukautta peräkkäin.

Vaarantuneilla verkkosivustoilla vierailevat käyttäjät kohtasivat väärennettyjä selainpäivityskehotteita, jotka johtivat etäkäyttötroijalaisten (Remote Access Trojans, RAT), kuten AsyncRATin asentamiseen.

Suomen yleisimmät haittaohjelmat heinäkuussa 2024

  1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 6,07 %.
  2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,27 %.
  3. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,87 %.
  4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 1,87 %.
  5. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,40 %.
  6. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,40 %.
  7. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,47 %.
  8. Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 0,47 %.
  9. Floxif – Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Tunnettu laajasta kampanjasta vuonna 2017, jolloin Floxif oli mukana CCleaner-sovelluksessa ja tartutti yli 2 miljoonaa käyttäjää, mm. teknologiajätit Googlen, Microsoftin, Ciscon ja Intelin. Esiintyvyys 0,47 %.
  10. FakeBat – Haittaohjelma, jota levitetään haitallisilla mainoskampanjoilla käyttäen MSIX-asennusohjelmia, jotka sisältävät vaikealukuiseksi muokattuja PowerShell-skriptejä. Se esiintyy tunnettuina ohjelmistoina, kuten Notion ja Trello, huijatakseen uhreja lataamaan haitallisia tiedostoja. Kampanjoissa hyödynnetään URL-osoitteiden lyhentäjiä ja laillisia verkkosivustoja turvatoimien kiertämiseksi ja haittaohjelman tehokkaammaksi levittämiseksi. Esiintyvyys 0,47 %.


Check Point listaa myös johtavat kiristysryhmät. Heinäkuussa 2024 ykkössijan nappasi RansomHub, joka oli vastuussa 11 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Lockbit3 8 prosentilla ja Akira 6 prosentilla.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki