--->
Rekisteröidy
AfterDawn logo

FakeUpdates yhä Suomen yleisin haittaohjelma - maaliskuussa paljastui uusi hyökkäyskampanja, jossa haittaohjelmaa käytettiin

FakeUpdates yhä Suomen yleisin haittaohjelma - maaliskuussa paljastui uusi hyökkäyskampanja, jossa haittaohjelmaa käytettiin
Janne Yli-Korhonen Janne Yli-Korhonen

Kyberturvallisuusratkaisujen tarjoaja Check Point Software Technologies julkisti maaliskuun 2025 haittaohjelmakatsauksensa.

Raportin mukaan FakeUpdates pitää sekä Suomen että maailman yleisimmän haittaohjelman kärkipaikkaa. FakeUpdates on ollut kärjessä tai kärjen tuntumassa jo kuukausien ajan.

FakeUpdates on JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista, ja levittää muita haittaohjelmia.

MAINOS
Lue lisää


Maaliskuussa tutkijat havaitsivat uuden hyökkäyskampanjan, jossa FakeUpdatesia hyödynnettiin RansomHub-kiristysohjelman levittämiseen. Hyökkäyksissä hyödynnettiin murrettuja verkkosivustoja, väärennettyjä Keitaro TDS -uudelleenohjauksia ja tekaistuja selaimen päivityskehotuksia, joiden avulla uhreja houkuteltiin lataamaan haittaohjelma.

Check Pointin mukaan FakeUpdatesin JavaScript-lataajan koodi on tehty erittäin vaikealukuiseksi ja koodi mahdollistaa tiedon varastamisen, komentojen suorittamisen sekä pysyvän pääsyn uhrin järjestelmiin. Tutkijoiden mukaan rikolliset käyttävät yhä useammin hyväkseen laillisia palveluita, kuten Dropboxia ja TryCloudflarea, välttääkseen havaitsemisen ja säilyttääkseen pääsyn kohteisiin.

Check Point nostaa esille maaliskuun osalta esille myös laajan Lumma Stealer -haittaohjelmaan liittyvän tietojenkalastelukampanjan, joka vaaransi yli 1 150 organisaatiota ja 7 000 käyttäjää Pohjois-Amerikassa, Etelä-Euroopassa ja Aasiassa. Hyökkäyksissä jaeltiin lähes 5 000 haitallista PDF-tiedostoa Webflown sisällönjakeluverkon kautta.

Rikolliset käyttivät tiedostoissa väärennettyjä CAPTCHA-kuvia, joiden avulla käynnistettiin PowerShell-komentoja ja asennettiin haittaohjelma. Tutkijat yhdistivät Lumma Stealerin myös esimerkiksi väärennettyihin Roblox-peleihin.

"Kyberrikolliset mukauttavat jatkuvasti toimintatapojaan ja hyödyntävät yhä useammin laillisia alustoja haittaohjelmien levitykseen ja tunnistuksen välttämiseen. Organisaatioiden on tärkeää pysyä valppaina ja ottaa käyttöön ennakoivia tietoturvatoimia tällaisten kehittyvien uhkien torjumiseksi", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat maaliskuussa 2025

  1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6,49 %.
  2. RomCom – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2022 ja kohdistuu erityisesti Windows-järjestelmiin. Se leviää tietojenkalastelukampanjoissa, joissa hyödynnetään troijalaisiksi muokattuja versioita laillisista ohjelmistoista. RomCom käyttää ICMP-pohjaista komento- ja ohjausliikennettä (C2). Haittaohjelma on yhdistetty uhkatoimijaryhmiin, kuten "Tropical Scorpius". Kohteina ovat olleet muun muassa Ukrainan sotilaslaitokset ja Yhdysvaltojen terveydenhuoltoalan organisaatiot. Esiintyvyys 1,30 %.
  3. Raspberry Robin – Mato, joka havaittiin ensimmäisen kerran vuonna 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 1,30 %.
  4. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 1,30 %.
  5. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilien tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 1,30 %.


Maaliskuussa RansomHub oli aktiivisin kiristyshaittaohjelmaryhmä ja vastasi 12 prosentista julkaistuista hyökkäyksistä. RansomHub nähtävästi nousi kärkeen juurikin FakeUpdatesin avulla. Aggressiivisista kampanjoistaan tunnettu RansomHub kohdistaa hyökkäyksiään muun muassa VMware ESXi -järjestelmiin ja käyttää edistyneitä salausmenetelmiä.

Toisena on Qilin ja kolmantena Akira.

Qilin on kiristysohjelmapalveluna toimiva rikollisoperaatio, joka salaa ja varastaa tietoja. Akira on kiristyshaittaohjelmaryhmä, joka kohdistuu Windows- ja Linux-järjestelmiin. Ryhmä on yhdistetty tietojenkalastelukampanjoihin ja VPN-päätelaitteiden haavoittuvuuksien hyväksikäyttöön, mikä tekee siitä merkittävän uhan organisaatioille. Vuosi sitten Akiran kohteeksi joutui kymmenen organisaatiota Suomessa.

KOMMENTOI

Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.

Spotify on nurin - koko maailmassa [PÄIVITYS 16:58]

AfterDawn

Jos oikeus päättää, että Google pilkotaan, on Chrome -selaimelle tiedossa jo kiinnostunut ostaja

AfterDawn

Miten seurattavissa oma selaimesi on? EFF julkisti testin, jolla voit kokeilla

AfterDawn

Yhdysvallat päätti vaarantaa koko maailman tietoturvan - CVE:n rahoitus katosi

AfterDawn

Nyt se alkoi: Ensin Netflix, sitten Disney+.. Max estää salasanojen jakamisen, lisäkatselijoista pitää maksaa

AfterDawn

Iso muutos tapahtuu pian: Google lakkauttaa Google.fi -sivuston

AfterDawn

Poliisi ottaa käyttöön uuden järjestelmän kuvaamiseen - järjestelmään hankittu tuhat kameraa

AfterDawn

EU:lta tiukka kuitti Muskille ja Trumpille: "EU:n säännöt ovat sama, riippumatta siitä, kuka on firman johdossa"

AfterDawn

Yllätys: Jos olet kieltänyt markkinoinnin, operaattori ei saa varoittaa tietoturvariskeistä, kuten modeemin vanhenemisesta

AfterDawn

Powered by HIGH.FI

Powered by HIGH.FI
Seuraa! Kirjekuoren symboli
Uutiskirje
 Threadsin logo
Threads
 Blueskyn logo
Bluesky
 Mastodonin logo
Mastodon
Sulje palkki