Heinäkuun yleisimpien haittaohjelmien joukossa vanhoja tuttavuuksia

Check Point Software Technologies on julkaissut heinäkuun 2024 haittaohjelmakatsauksensa. Siinä raportoidaan esimerkiksi Windowsiin kohdistetussa Remcos-haittaohjelmakampanjassa hyödynnettävän tietoturvaohjelmistopäivitystä. RansomHub on edelleen yleisin kiristyshaittaohjelmaryhmä.

Maailman yleisin haittaohjelma heinäkuussa 2024 oli Fakeupdates (SocGholish) eli JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Toiselta sijalta löytyy Androxgh0st-bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Kärkikolmikon täydensi AgentTesla, joka on  kehittynyt etäkäyttötroijalainen, joka toimii keyloggerina ja salasanojen varastajana ja on ollut aktiivinen jo vuodesta 2014 lähtien.

Tutkijat paljastivat joukon uusia taktiikoita, joissa hyödynnettiin FakeUpdates-ohjelmaa. FakeUpdates säilyttikin kärkisijansa haittaohjelmien listalla toista kuukautta peräkkäin. Vaarantuneilla verkkosivustoilla vierailevat käyttäjät kohtasivat väärennettyjä selainpäivityskehotteita, jotka johtivat etäkäyttötroijalaisten, kuten AsyncRATin asentamiseen. Hälyttävää on, että verkkorikolliset ovat nyt alkaneet hyödyntää alun perin vapaaehtoislaskentaan tarkoitettua BOINC-alustaa saadakseen etähallinnan tartunnan saaneisiin järjestelmiin.

Huolimatta kesäkuun notkahduksestaan, nousi LockBit heinäkuussa maailman toiseksi yleisimmäksi kiristyshaittaohjelmaryhmäksi, samalla kun RansomHub säilytti ykkössijansa. Tutkijat havaitsivat sekä kampanjan, jossa levitettiin Remcos-haittaohjelmaa CrowdStriken päivitysongelman jälkeen, että joukon uusia FakeUpdates-taktiikoita, jotka nousivat jälleen heinäkuun haittaohjelmalistan kärkeen. Kolmossijalla kiristyshaittaohjelmissa oli Akira.

Mobiilihaittaohjelmien globaalin listan kärjessä oli Joker, Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Kolmantena oli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Alla vielä Suomen yleisimmät haittaohjelmat heinäkuussa 2024:

• FakeUpdates (eli SocGholish). JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Esiintyvyys 6,07 %.
• Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia. Esiintyvyys 3,27 %.
• Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,87 %.
• Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Esiintyvyys 1,87 %.
• Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer). Esiintyvyys 1,40 %.
• Snatch-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Esiintyvyys 1,40 %.
• Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Esiintyvyys 0,47 %.
• Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Esiintyvyys 0,47 %.
• Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Esiintyvyys 0,47 %.
• Haittaohjelma, jota levitetään haitallisilla mainoskampanjoilla käyttäen MSIX-asennusohjelmia, jotka sisältävät vaikealukuiseksi muokattuja PowerShell-skriptejä. Esiintyvyys 0,47 %.