Tietoturvayritys Check Pointin tutkimusosasto kertoo helmikuun haittaohjelmakatsauksessaan, että venäläisen Evil Corp -verkkorikollisryhmän FakeUpdates-latausohjelma pitää sitkeästi kärkisijaa maailman ykköshaitakkeena. Suomessa ykkössijalle nousi phishing-sähköpostien välityksellä leviävä Injuke-troijalainen.
Helmikuussa Check Pointin tutkijat löysivät uuden FakeUpdates-kampanjan, joka nyt vaarantaa WordPress-sivustoja. Tartunnat tapahtuivat hakkeroitujen wp-admin-ylläpitäjätilien kautta, ja haittaohjelma mukautti taktiikkaansa tunkeutuakseen sivustoille käyttämällä aitojen WordPress-liitännäisten muunnettuja versioita sekä huijaamalla käyttäjiä lataamaan etäkäyttötroijalaisia.
FakeUpdates-latausohjelma pitää sitkeästi kärkisijaa maailman ykköshaitakkeena. Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se käyttää JavaScript-pohjaisia haittaohjelmia kohdistamaan hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.
FakeUpdates on aiemmin yhdistetty venäläiseen Evil Corp -nimiseen verkkorikollisryhmään. Sen lataustoiminnallisuuden ansiosta ryhmän uskotaan ansaitsevan rahaa myymällä pääsyä saastuttamiinsa järjestelmiin, mikä voi johtaa lisähaittaohjelmatartuntoihin.
Suomen yleisimmät haittaohjelmat helmikuussa 2024
- Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 2,30 %.
- FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,38 %.
- Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,92 %.
- Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 0,92 %.
- Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan. Haittaohjelma on suunniteltu antamaan pahansuoville käyttäjille etähallinta tartunnan saaneeseen tietokoneeseen. Esiintyvyys 0,92 %.
- Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 0,92 %.
- CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. CoinLoader leviää esimerkiksi haitallisten sähköpostin liitetiedostojen tai tartunnan saaneiden verkkosivustojen kautta. Esiintyvyys 0,92 %.
- AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,92 %.
- Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 0,92 %.
- Shiz – Takaoviohjelma, joka piiloutuu Windows-prosesseihin ja pitää yhteyttä useisiin ohjauspalvelimiin. Esiintyvyys 0,46 %.
Maailman yleisimmät haittaohjelmat helmikuussa 2024
- Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 5 %.
- Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2 %.
Elektroniikka- ja kodinkonekaupan yhdistys ETKOn lukujen mukaan Suomessa myytiin heinä-syyskuussa reilut 636 tuhatta puhelinta, mikä on 4,4 prosenttia enemmän kuin vuotta aikaisemmin. Rahassa mitattuna myynnin arvo sen sijaan laski 1,6 prosenttia.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.
