Krakkerit löysivät uuden tartuntaketjumenetelmän

-

Tietoturvayritys Check Pointin tutkijat ovat havainneet verkossa uuden menetelmän, jolla tuttu trojalainen Remcos (Remote Access Trojan, RAT) pystyy saastuttamaan jälleen verkon tietokoneita. Menetelmä pystyy ohittamaan yleiset turvatoimet käyttäjän koneissa.

Check Pointin tutkijat saivat selville maaliskuussa, että verkkohakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remote Access Trojan (RAT) Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä.

Remcos havaittiin ensimmäisen kerran vuonna 2016. Se levisi aiemmin roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia.

Se oli alun perin aivan laillinen työkalu Windowsin etähallintaan, mutta verkkorikolliset alkoivat  hyödyntää sen kykyä tartuttaa laitteita, ottaa kuvakaappauksia, tallentaa näppäinpainalluksia ja lähettää kerättyjä tietoja nimetyille isäntäpalvelimille. Lisäksi Remote Access Trojan (RAT) sisältää massapostitustoiminnon, jolla voidaan toteuttaa jakelukampanjoita, ja sen eri toimintoja voidaan käyttää bottiverkkojen luomiseen. Viime kuussa se nousi neljännelle sijalle globaalissa haittaohjelmalistauksessa.

Check Pointin maaliskuun haitake listalla piti maailmanlaajuisesti ykköstilaa FakeUpdates-latausohjelma, joka nousi myös Suomessa yleisimmäksi haittaohjelmaksi. Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. FakeUpdates/SocGholis käyttää JavaScript-pohjaisia haittaohjelmia kohdistaakseen hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. Haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.

Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva haitake, pankki- ja etäkäyttötroijalainen Anubis.  . Se kykenee tallentamaan myös ääntä ja näppäinpainalluksia ja sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa.

Suomen yleisimmät haittaohjelmat maaliskuussa 2024

  1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista.
  2. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen.
  3. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. ’
  4. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin.
  5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana.
  6. AsyncRAT – Etäkäyttöön tarkoitettu troijalainen (RAT), joka kykenee valvomaan ja ohjaamaan tietokonejärjestelmiä huomaamattomasti etänä.
  7. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä.
  8. Raspberry Robin – Kehittynyt mato, joka käyttää hyökkäyksissään laillisilta vaikuttavia, mutta tosiasiassa uhrien koneet saastuttavia USB-asemia.
  9. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien.
  10. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita.

Maailman kolme yleisintä haittaohjelmaa maaliskuussa 2024

  1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista.
  2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia.
  3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin.

Lähde: Check Point Researchin maaliskuun 2024 -raportti.

Kuvituskuva: Check Point