Windows haitake analyysi 2024

Windowsiin hyökkäävä haitta levisi heinäkuussa zip-tiedostona


Check Point Software Technologies on julkaissut heinäkuun haittaohjelmakatsauksensa. Check Point Softwaren tietoturvatutkijat ovat havainneet, että Windowsiin kohdistetussa Remcos-haittaohjelmakampanjassa hyödynnetään äskettäistä tietoturvaohjelmistopäivitystä. RansomHub on edelleen yleisin kiristyshaittaohjelmaryhmä.

LockBit nousi heinäkuussa maailman toiseksi yleisimmäksi kiristyshaittaohjelmaryhmäksi, samalla kun RansomHub säilytti ykkössijansa. Tutkijat havaitsivat sekä kampanjan, jossa levitettiin Remcos-haittaohjelmaa CrowdStriken päivitysongelman jälkeen, että joukon uusia FakeUpdates-taktiikoita, jotka nousivat jälleen heinäkuun haittaohjelmalistan kärkeen.

CrowdStrike Falcon -sensorissa Windowsille havaittu ongelma johti siihen, että verkkorikolliset levittivät haitallista ZIP-tiedostoa nimeltä crowdstrike-hotfix.zip. Tämä tiedosto sisälsi HijackLoader-haittaohjelman, joka myöhemmin aktivoi Remcos-haittaohjelman. Kampanja kohdistui espanjankielisiä ohjeita käyttäviin yrityksiin, ja siinä hyödynnettiin väärennettyjä verkkotunnuksia tietojenkalasteluhyökkäyksissä.

Tutkijat paljastivat myös joukon uusia taktiikoita, joissa hyödynnettiin FakeUpdates-ohjelmaa. FakeUpdates säilytti kärkisijansa haittaohjelmien listalla toista kuukautta peräkkäin. Vaarantuneilla verkkosivustoilla vierailevat käyttäjät kohtasivat väärennettyjä selainpäivityskehotteita, jotka johtivat etäkäyttötroijalaisten (Remote Access Trojans, RAT), kuten AsyncRATin asentamiseen. Hälyttävää on, että verkkorikolliset ovat nyt alkaneet hyödyntää alun perin vapaaehtoislaskentaan tarkoitettua BOINC-alustaa saadakseen etähallinnan tartunnan saaneisiin järjestelmiin.

Suomen yleisimmät haittaohjelmat heinäkuussa 2024
FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 6,07 %.
Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,27 %.
NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,87 %.
Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 1,87 %.
Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,40 %.
Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,40 %.
Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,47 %.
Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 0,47 %.
Floxif – Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Tunnettu laajasta kampanjasta vuonna 2017, jolloin Floxif oli mukana CCleaner-sovelluksessa ja tartutti yli 2 miljoonaa käyttäjää, mm. teknologiajätit Googlen, Microsoftin, Ciscon ja Intelin. Esiintyvyys 0,47 %.
FakeBat – Haittaohjelma, jota levitetään haitallisilla mainoskampanjoilla käyttäen MSIX-asennusohjelmia, jotka sisältävät vaikealukuiseksi muokattuja PowerShell-skriptejä. Se esiintyy tunnettuina ohjelmistoina, kuten Notion ja Trello, huijatakseen uhreja lataamaan haitallisia tiedostoja. Kampanjoissa hyödynnetään URL-osoitteiden lyhentäjiä ja laillisia verkkosivustoja turvatoimien kiertämiseksi ja haittaohjelman tehokkaammaksi levittämiseksi. Esiintyvyys 0,47 %.
Maailman yleisimmät haittaohjelmat heinäkuussa 2024
Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitet