AfterDawn logo

Tietoja varastava haittaohjelma nousi Suomessa ykköseksi

Janne Yli-Korhonen Janne Yli-Korhonen

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut lokakuun 2024 haittaohjelmakatsauksensa.

Tällä kertaa Check Point nostaa esille tietoja varastavat haittaohjelmat, jotka ovat tutkijoiden mukaan yleistyneet.

Lokakuussa tutkijat havaitsivat tartuntaketjun, jossa väärennettyjä CAPTCHA-sivuja käytetään Lumma Stealer -haittaohjelman levittämiseen.


Lumma nousi lokakuussa Suomen haittaohjelmalistan kärkeen ja maailmanlaajuisesti neljännelle sijalle. Haittaohjelman leviäminen on huomionarvoista sen globaalin ulottuvuuden vuoksi. Se vaikuttaa useissa maissa pääasiallisesti kahdella tartuntatavalla: laittomien pelikopioiden latauslinkkien ja GitHub-käyttäjiin kohdistuvien tietojenkalastelusähköpostien avulla. Uhrit huijataan suorittamaan haitallinen komentosarja, joka on kopioitu heidän leikepöydälleen.

"Tietoja varastavien haittaohjelmien kehittyminen osoittaa, että kyberrikolliset uudistavat menetelmiään jatkuvasti ja hyödyntävät innovatiivisia hyökkäystapoja. Organisaatioiden on mentävä perinteisiä puolustuskeinoja pidemmälle ja omaksuttava ennakoivia ja mukautuvia turvatoimia, jotka pystyvät vastaamaan uusiin uhkiin tehokkaasti", kommentoi VP of Research Maya Horowitz Check Point Softwarelta.

Check Point nostaa esille myös Google Play -kaupassa esiintyvät mobiilihaittaohjelmat. Tällaisista haittaohjelmista Necron uusi versio on noussut merkittäväksi uhaksi ja se oli lokakuussa toisella sijalla mobiilihaittaohjelmien listalla. Ykkösenä on Joker, joka on Suomen yleisimpien haittaohjelmien listalla sijalla kolme.

Necro on tartuttanut useita suosittuja sovelluksia, kuten Google Playsta saatavia modifioituja pelejä, joiden käyttäjäkunta kattaa yli 11 miljoonaa Android-laitetta. Necro käyttää häivytystekniikoita havaitsemisen välttämiseksi ja hyödyntää steganografiaa peittääkseen haitallisen sisällön. Steganografia tarkoittaa tiedon piilottamista toiseen viestiin tai objektiin. Aktivoituessaan Necro voi käyttäjän huomaamatta avata mainoksia taustalla, klikata niitä ja rekisteröidä uhrin maksullisiin palveluihin.

Suomen yleisimmät haittaohjelmat lokakuussa 2024

  1. Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
  2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,29 %.
  3. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,82 %.
  4. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,35 %.
  5. GootLoader – Huomaamaton haittaohjelma, joka toimii lataajana hyökkäyksissä Windows-järjestelmiin. GootKit-pankkitroijalaisen lataajaksi kehitetty GootLoader on muuttunut monikäyttöiseksi haittaohjelma-alustaksi, joka voi toimittaa edistyneitä hyökkäystyökaluja, kuten Cobalt Striken ja REvil-kiristyshaittaohjelman. GootLoader käyttää hakukoneoptimoinnin manipulointia uhrien ohjaamiseksi vaarantuneille verkkosivuille ja suorittaa drive-by-lataushyökkäyksiä, jotka vaikuttavat moniin toimialoihin eri maissa. Se hyödyntää kehittyneitä tekniikoita, kuten koodin piilotusta ja PowerShell-komentoja havaitsemisen välttämiseksi. Esiintyvyys 1,41 %.

KOMMENTOI

Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki