Emotet-troijalainen kiertää nyt Microsoftin estot OneNote-tiedostojen avulla

Check Point Researchin maaliskuun haittaohjelmakatsaus paljastaa kyberrikollisten kehittäneen keinon Microsoftin makrokiellon kiertämiseen. Nyt Emotet-troijalaista levittävissä roskaposteissa on nyt mukana haitallisia OneNote-linkkejä.

Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut maaliskuun 2023 haittaohjelmakatsauksensa.

Sen tärkeimpiin havaintoihin kuuluu uusi Emotet-troijalaista levittävä haittaohjelmakampanja, jonka myötä Emotet nousi maailman toiseksi yleisemmäksi haittaohjelmaksi. Yleisimmän haittaohjelma oli Qbot (eli Qakbot), joka on vuonna 2008 ensimmäistä kertaa havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Kolmannella sijalla oli tällä erää Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin.

CPR:n tutkijat huomasivat jo aiemmin tätä vuonna, että kyberrikolliset ovat tutkineet uusia tapoja haitallisten tiedostojen levittämiseen sen jälkeen, kun Microsoft ilmoitti estävänsä sähköpostin kautta tai muualta internetistä tulleissa Office-tiedostoissa olevien makrojen avaamisen. Uusimmassa kampanjassa on käytössä uusi strategia: roskapostiviestit sisältävät haitallisen OneNote-tiedoston. Kun tiedosto avataan, näkyviin tulee väärennetty viesti, joka houkuttelee klikkaamaan asiakirjaa. Napsautus lataa Emotet-tartunnan. Haittaohjelma voi kerätä uhrin sähköpostiohjelmasta esimerkiksi kirjautumistietoja ja yhteystietoja. Nämä ovat rikolliselle arvokas apu kampanjan laajentamisessa ja myöhempien hyökkäysten valmistelussa.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli etäkäyttötroijalainen (RAT) AhMyth, joka havaittiin ensimmäisen kerran vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Toiseksi yleisin oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Listakolmonen oli Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia.

Alla vielä listattuna Suomen viisi yleisintä haittaohjelmaa maaliskuussa 2023:

• Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Esiintyvyys 6,90 %.
• XMRig – Monero-kryptovaluutan louhija. Kyberkonnat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 4,02 %.
• Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Esiintyvyys 3,45 %.
• Remcos – Etähallintaohjelma (RAT), joka leviää roskapostien liitteinä olevien Office -tiedostojen avulla ja se on suunniteltu välttämään Microsoftin virustutkat. Esiintyvyys 2,87 %.
• OffLoader – Tunnetaan haitallisten ohjelmien lataajana ja suorittajana, joka pystyy nappaaman arkaluonteisia tietoja ja kuvakaappauksia. Esiintyvyys 2,30 %.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin tietoihin. Se on verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli kolme miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista:  March 23’s Most Wanted Malware.