Jälleen uusi tietojenkalastelukampanja uhkaamassa – hyödynnetään useita haittaohjelmia

Kyberturvallisuusyhtiö Fortinetin julkaisemassa uudessa raportissa kerrotaan uudentyyppisestä tietojenkalastelukampanjasta. Siinä käyttäjä huijataan lataamaan haittakoodi, jonka tarkoituksena on asentaa etäkäyttöön tarkoitettu RAT-troijalainen.

Erityisen tästä tietojenkalastelukampanjasta tekee se, että siinä hyödynnetään useita erilaisia haittaohjelmia, jotka hyökkäävät uhrin laitteeseen eri tavoin. Haittaohjelmiin kuuluvat muun muassa seuraavat:

• Näppäimistökaappari, joka tallentaa näppäimistön painallukset.
• Java-kielellä kirjoitettu RAT-troijalainen STRAT, joka mahdollistaa uhrin laitteen etäohjauksen.
• Uusi VCURMS-nimellä kulkeva RAT-troijalainen. Kun käyttäjä käynnistää tartunnan saaneen laitteen, troijalainen käynnistyy automaattisesti ja ilmoittaa hyökkääjille laitteen olevan verkossa.
• Tietoja varastava haittaohjelma, joka muun muassa lukee selaimeen tallennettuja salasanoja ja selaushistoriaa.

Muuten tietojenkalastelukampanja on hyvinkin perinteinen. Siinä yritysten työntekijät saavat saapuvaa maksua koskevan sähköpostiviestin, jossa pyydetään tarkastamaan maksutiedot ulkoisen linkin kautta. Kun uhri napsauttaa linkkiä, haitallinen tiedosto latautuu laitteelle. Aivan kuten muissakin tietojenkalastelukampanjoissa, ladatut tiedostot on nimetty tavalla, joka houkuttelee käyttäjiä avaamaan ne.

Haittaohjelma tallentuu AWS:n (Amazon Web Services) ja GitHubin kaltaisiin julkisiin palveluihin ja hyödyntää kaupallista suojausta välttääkseen havaituksi tulemisen.

Fortinet koko raportti löytyy täältä.