Hakkerit löysivät uuden tartuntaketjumenetelmän Remcos-etäkäyttötroijalaisen toimittamiseen

Tutkijat ovat havainneet uuden menetelmän, jolla Remcos saastuttaa koneita. Tämä menetelmä ohittaa yleiset turvatoimet, mahdollistaen luvattoman pääsyn uhrien laitteisiin.

Check Point Research on julkaissut maaliskuun 2024 haittaohjelmakatsauksensa. Check Pointin tutkijat saivat maaliskuussa selville, että hakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remote Access Trojan (RAT) Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä. Viime kuussa se nousi neljännelle sijalle globaalissa haittaohjelmalistauksessa.

Myös maaliskuussa piti FakeUpdates-latausohjelma sitkeästi kärkisijaa maailman ykköshaitakkeena, ja se nousi myös Suomen yleisimmäksi haittaohjelmaksi. Sen esiintyvyys kasvoi helmikuusta maaliskuuhun 1,38 prosentista peräti 3,4 prosenttiin. Listan kakkossijaa pitää hallussaan Qbot, joka on ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen. Kolmossijalla oli puolestaan Formbook, Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin.

Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva haitake, pankki- ja etäkäyttötroijalainen Anubis. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Uutena tulokkaana kolmanneksi listalle nousi pankkipalveluihin kohdistava etäkäyttötroijalainen Cerberus. Sen ominaisuuksiin kuuluvat muun muassa tekstiviestien hallinta, näppäinlokit, äänitallennus ja sijainninseuranta.

Suomessa RAT-etäkäyttötroijalaiset, kuten AsyncRAT ja NJRat, palasivat yleisimpien haittaohjelmien top 10 -listalle, ja FakeUpdates nappasi kärkipaikan Suomen ykköshaitakkeena. Koko lista Suomen yleisimmistä haittaohjelmista maaliskuussa 2024 alla:

• FakeUpdates (eli SocGholish). JavaScriptillä kirjoitettu latausohjelma. Esiintyvyys 3,40 %.
• Injuke. Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Esiintyvyys 2,13 %.
• Qbot. Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Esiintyvyys 1,70 %.
• Formbook. Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,70 %.
• AgentTesla. Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Esiintyvyys 0,85 %.
• AsyncRAT. Etäkäyttöön tarkoitettu troijalainen (RAT), joka kykenee valvomaan ja ohjaamaan tietokonejärjestelmiä huomaamattomasti etänä. Esiintyvyys 0,85 %.
• NJRat. Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 0,85 %.
• Raspberry Robin. Kehittynyt mato, joka käyttää hyökkäyksissään laillisilta vaikuttavia, mutta tosiasiassa uhrien koneet saastuttavia USB-asemia. Esiintyvyys 0,85 %.
• Snatch. RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Esiintyvyys 0,85 %.
• Ducktail. PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Esiintyvyys 0,85 %.