Tietoturvayritys Check Point Software Technologies on julkaissut huhtikuun 2025 haittaohjelmakatsauksensa. Raportin mukaan FakeUpdates jatkoi maailman yleisimpänä haittaohjelmana, vaikuttaen 6 prosenttiin organisaatioista maailmanlaajuisesti. Suomessa sen esiintyvyys oli 4,02 prosenttia.

Tutkijat havaitsivat huhtikuussa kehittyneen monivaiheisen hyökkäyskampanjan, jossa käytettiin AgentTesla-, Remcos- ja Xloader-haittaohjelmia. Hyökkäykset käynnistyivät tietojenkalastelusähköposteilla, jotka oli naamioitu tilausvahvistuksiksi ja sisälsivät haitallisen 7-Zip-arkiston. Arkistossa ollut JScript Encoded (.JSE) -tiedosto käynnisti Base64-koodatun PowerShell-komennon, joka puolestaan johti .NET- tai AutoIt-pohjaisen haittaohjelman suorittamiseen. Lopullinen haittakoodi injektoitiin laillisiin Windows-prosesseihin, kuten RegAsm.exe tai RegSvcs.exe, mikä teki sen havaitsemisesta erittäin haastavaa.

Tutkijoiden mukaan kyseessä on esimerkki kyberrikollisuuden kehittyvästä suuntauksesta, jossa aiemmin yksinkertaiset haittaohjelmat, kuten AgentTesla ja Remcos, integroidaan monimutkaisiin hyökkäysketjuihin. Näissä hyödynnetään edistyneitä tekniikoita, jotka muistuttavat valtiollisten toimijoiden toimintaa ja hämärtävät rajaa taloudellisten ja poliittisten uhkien välillä.

Check Point Softwaren uhkatiedustelun johtaja Lotem Finkelsteinin mukaan kampanja osoittaa selvästi, kuinka monimutkaisiksi kyberuhat ovat kehittyneet. Hyökkääjät yhdistelevät koodattuja komentosarjoja, laillisia prosesseja ja kerroksellisia toteutuksia pysyäkseen näkymättömissä.

- Aiemmin vähäpätöisinä pidetyt haittaohjelmat voivat nyt olla osa erittäin kehittyneitä hyökkäyksiä. Organisaatioiden on tärkeää siirtyä ennakoivaan suojausmalliin, joka hyödyntää reaaliaikaista uhkatietoa, tekoälyä ja käyttäytymisanalytiikkaa, Finkelstein sanoo.

Lisäksi uusi kiristyshaittaohjelmaryhmä nimeltä SatanLock havaittiin ensimmäistä kertaa huhtikuussa. Ryhmä on ilmoittanut 67 uhrista, mutta yli 65 prosenttia näistä tapauksista on aiemmin yhdistetty muiden rikollisryhmien hyökkäyksiin. Tämä viittaa siihen, että SatanLock pyrkii kasvattamaan näkyvyyttään liittämällä itsensä jo tunnettuihin hyökkäyksiin.

Suomen yleisimmät haittaohjelmat huhtikuussa 2025

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka huijaa käyttäjiä asentamaan tekaistuja selainpäivityksiä. Tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista ja toimii väylänä muun muassa GootLoaderin, Dridexin ja AZORultin kaltaisille haittaohjelmille. Esiintyvyys 4,02 %.
2. Androxgh0st – Pythonilla kirjoitettu bottiverkkohaittaohjelma, joka hyödyntää mm. Laravel- ja Apache-järjestelmien haavoittuvuuksia. Se varastaa arkaluonteisia tietoja kuten AWS-avaimia ja Twilio-tunnuksia, ja sitä käytetään usein pilvipalveluiden väärinkäyttöön. Esiintyvyys 1,79 %.
3. Shiz – Windows-järjestelmiin kohdistuva takaovi, joka piiloutuu laillisiin prosesseihin. Shiz voi varastaa käyttäjätietoja ja älykorttitietoja sekä vastaanottaa komentoja etäpalvelimelta. Esiintyvyys 0,89 %.
4. AsyncRat – Etähallintatroijalainen (RAT), joka kerää tietoja järjestelmästä ja suorittaa komentoja, kuten prosessien tappaminen ja näyttökuvien ottaminen. Se leviää usein tietojenkalastelun kautta. Esiintyvyys 0,89 %.
5. Wacatac –  Troijalainen, joka lukitsee tiedostoja muuttamalla niiden nimiä, mutta ei varsinaisesti salaa niitä kuten kiristyshaittaohjelmat. Yleensä leviää roskapostien ja tekaistujen ohjelmien mukana. Esiintyvyys 0,45 %.

Maailman yleisimmät haittaohjelmat huhtikuussa 2025

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6 %.
2. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 3 %.
3. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 3 %.