Tietoturvayhtiö Check Point Research kertoo helmikuun haittaohjelmakatsauksessaan, että Suomessa ykkösijalle nousi phishing-sähköpostien välityksellä leviävä Injuke-troijalainen. Sen sijaan ykkösenä maailmalla oli venäläisen Evil Corp -verkkorikollisryhmän FakeUpdates.

Tietoturvayhtiö Check Pointin tutkijat löysivät uuden FakeUpdates-haitakeversion, joka vaarantaa suosittuja WordPress-sivustoja. Tartunnat tapahtuivat hakkeroitujen wp-admin-ylläpitäjätilien kautta, ja haittaohjelma mukautti taktiikkaansa tunkeutuakseen sivustoille käyttämällä aitojen WordPress-liitännäisten muunnettuja versioita sekä huijaamalla käyttäjiä lataamaan etäkäyttötroijalaisia.

FakeUpdates-latausohjelma pitää sitkeästi kärkisijaa maailman ykköshaitakkeena. Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se käyttää JavaScript-pohjaisia haittaohjelmia kohdistamaan hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä.

FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia. Vaikka sen toimintaa on yritetty pysäyttää, se on edelleen merkittävä uhka verkkosivustojen turvallisuudelle ja käyttäjätiedoille. Tämä kehittynyt haittaohjelmavariantti on aiemmin yhdistetty venäläiseen Evil Corp -nimiseen verkkorikollisryhmään. Sen lataustoiminnallisuuden ansiosta ryhmän uskotaan ansaitsevan rahaa myymällä pääsyä saastuttamiinsa järjestelmiin, mikä voi johtaa lisähaittaohjelmatartuntoihin.

Suomen yleisimmät haittaohjelmat helmikuussa 2024

1. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä.
2. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista
3. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä.
4. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa.
5. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan.
6. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita.
7. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan.
8. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana.
9. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia.
10. Shiz – Takaoviohjelma, joka piiloutuu Windows-prosesseihin ja pitää yhteyttä useisiin ohjauspalvelimiin.

Maailman yleisimmät haittaohjelmat helmikuussa 2024

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia.
3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin.

Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva haitake, pankki- ja etäkäyttötroijalainen Anubis. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa.

Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa.

Kuvituskuva: Check Point Research