Check Pointin lokakuun haittaohjelmakatsaus tuo esiin huolestuttavan kehityksen kyberturvallisuudessa: tietoja varastavien haittaohjelmien yleistymisen ja kyberrikollisten hyökkäystapojen kehittymisen. Tehokkaasti vaarantuneista järjestelmistä tunnistetietoja ja arkaluonteista dataa varastavat haittaohjelmat ovat yleistyneet. Lokakuussa tutkijat havaitsivat tartuntaketjun, jossa väärennettyjä CAPTCHA-sivuja käytetään Lumma Stealer -haittaohjelman levittämiseen.
Lumma nousi lokakuussa Suomen haittaohjelmalistan kärkeen ja maailmanlaajuisesti neljännelle sijalle. Venäjään yhdistetyn haittaohjelman leviäminen on huomionarvoista sen globaalin ulottuvuuden vuoksi. Se vaikuttaa useissa maissa pääasiallisesti kahdella tartuntatavalla: laittomien pelikopioiden latauslinkkien ja GitHub-käyttäjiin kohdistuvien tietojenkalastelusähköpostien avulla. Uhrit huijataan suorittamaan haitallinen komentosarja, joka on kopioitu heidän leikepöydälleen.
Mobiilihaittaohjelmista Necron uusi versio on noussut merkittäväksi uhaksi ja se oli lokakuussa toisella sijalla. Necro on tartuttanut useita suosittuja sovelluksia, kuten Google Playsta saatavia modifioituja pelejä, joiden käyttäjäkunta kattaa yli 11 miljoonaa Android-laitetta. Necro käyttää häivytystekniikoita havaitsemisen välttämiseksi ja hyödyntää steganografiaa peittääkseen haitallisen sisällön. Steganografia tarkoittaa tiedon piilottamista toiseen viestiin tai objektiin. Aktivoituessaan Necro voi käyttäjän huomaamatta avata mainoksia taustalla, klikata niitä ja rekisteröidä uhrin maksullisiin palveluihin. Tämä kuvastaa hyökkääjien jatkuvasti kehittyviä keinoja saada taloudellista hyötyä.
Suomen yleisimmät haittaohjelmat lokakuussa 2024
- Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
- Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,29 %.
- Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,82 %.
- FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,35 %.
- GootLoader – Huomaamaton haittaohjelma, joka toimii lataajana hyökkäyksissä Windows-järjestelmiin. GootKit-pankkitroijalaisen lataajaksi kehitetty GootLoader on muuttunut monikäyttöiseksi haittaohjelma-alustaksi, joka voi toimittaa edistyneitä hyökkäystyökaluja, kuten Cobalt Striken ja REvil-kiristyshaittaohjelman. GootLoader käyttää hakukoneoptimoinnin manipulointia uhrien ohjaamiseksi vaarantuneille verkkosivuille ja suorittaa drive-by-lataushyökkäyksiä, jotka vaikuttavat moniin toimialoihin eri maissa. Se hyödyntää kehittyneitä tekniikoita, kuten koodin piilotusta ja PowerShell-komentoja havaitsemisen välttämiseksi. Esiintyvyys 1,41 %.
Maailman yleisimmät haittaohjelmat lokakuussa 2024
- Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6 %.
- Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
- Agent Tesla – AgentTesla on edistynyt etähallintatroijalainen (RAT), joka toimii keyloggerina ja tietoja varastavana haittaohjelmana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 4 %.
- Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
- Formbook – Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä markkinoidaan alamaailman hakkerifoorumeilla edullisena haittaohjelmapalveluna (MaaS), ja sillä on tehokkaat väistämistekniikat. Formbook varastaa tunnistetietoja verkkoselaimista, kerää kuvakaappauksia, seuraa ja tallentaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja komento- ja hallintapalvelimelta saatujen ohjeiden mukaan.