Haittaohjelmien top 10: Formbook nousi kärkisijalle

Haittaohjelmien top 10: Formbook nousi kärkisijalle

– tietovarkaan tähtäimessä myös Mac-käyttäjät

 Tietoturvayhtiö Check Pointin tutkijat kertovat, että maailman yleisin haittaohjelma on nyt tietovaras Formbook. Qbot-pankkitroijalainen putosi kärkikymmeniköstä. Suomen ykkönen, kiristyshaittaohjelma Mailto, leviää roskapostien välityksellä.

 ESPOO – 13. syyskuuta 2021 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut elokuun haittaohjelmakatsauksensa. Tutkijat kertovat, että Formbook on nyt maailman yleisin haittaohjelma syrjäytettyään kolme kuukautta kärkisijalla olleen Trickbotin.

Pankkitroijalainen Qbot, jonka kehittäjät tiettävästi pitävät taukoja kesäisin, on pudonnut kymmenen yleisimmän haittaohjelman joukosta. Etäkäyttöinen troijalainen (RAT) Remcos puolestaan ylsi top 10:een ensimmäistä kertaa vuonna 2021 ja sijoittui kuudenneksi.

Formbook on havaittu ensimmäisen kerran vuonna 2016. Tietovaras kerää kuvakaappauksia sekä tunnistetietoja eri selaimilta, seuraa ja tallentaa näppäinpainalluksia sekä voi ladata tiedostoja. Äskettäin Formbookia jaettiin COVID-19-teemaisten kampanjoiden ja tietojenkalastelusähköpostien kautta, ja heinäkuussa 2021 CPR raportoi, että uusi, Formbookista juurensa juontava haittaohjelma XLoader kohdistuu nyt myös macOS -käyttäjiin.

”Formbookin assemblyllä tuotetun C-kielisen koodin ja muiden ominaisuuksien vuoksi haittaohjelma on vaikeampi havaita ja myös tutkijoille vaikeampi analysoida”, kertoo Check Point Softwaren VP Research Maya Horowitz.

”Koska Formbookia levitetään yleensä tietojenkalastelusähköpostien ja liitteiden välityksellä, paras tapa estää tartunta on olla varuillaan kaikkien oudoilta näyttävien tai tuntemattomilta lähettäjiltä saapuvien viestien suhteen. Jos viesti ei näytä oikealta, se ei sitä todennäköisesti ole”, toteaa Check Point Softwaren Suomen ja Baltian maajohtaja Sampo Vehkaoja.

Suomen yleisin haittaohjelma elokuussa oli Mailto, jota esiintyi 7,5 prosentissa maan yritysverkoista (maailmanlaajuisesti vain 0,36 prosentissa).

Suomen yleisimmät haittaohjelmat elokuussa 2021:

1. Mailto (tunnetaan myös nimellä NetWalker) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen roskapostien kautta. Esiintyvyys 7,5 %.
2. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,33 %.
3. Flubot – Android-haittaohjelma, jota levitetään tietojenkalastelutekstiviestien välityksellä ja joka esiintyy useimmiten logistiikkayrityksenä (kuten viime aikoina DHL). Kun käyttäjä klikkaa viestissä olevaa linkkiä, FluBot asennetaan ja hakkeri saa pääsyn puhelimen arkaluonteisiin tietoihin. Esiintyvyys 2,08 %.
4. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,67 %.
5. TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 1,67 %.
6. Qbot (aka Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,25 %.
7. Genome –Windows-haitake, joka lataa ja suorittaa tiedoston etäpalvelimelta. Haittaohjelman lataamat tiedostot on havaittu backdoor-troijalaisiksi, jotka liittyvät taloudellisten tietojen varastamiseen. Esiintyvyys 0,83 %.
8. Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 0,83 %.
9. Lokibot – Android-laitteiden pankkitroijalainen, joka voi myös muuntua kiristysohjelmaksi lukiten puhelimen. Esiintyvyys 0,83 %.
10. NanoCore – Etäkäyttöön tarkoitettu troijalainen, joka on suunnattu Windows-käyttöjärjestelmän käyttäjille. Esiintyvyys 0,83 %.
    Neshta – Troijalainen, joka löydettiin vuonna 2010. Tekee tietokoneen rekistereihin ja hakukoneiden asetuksiin muutoksia, jotka mahdollistavat haitallisten lisäosien ja valikkojen lisäämisen. Esiintyvyys 0,83 %.
    PSKill – Esiintyvyys 0,83 %.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet elokuussa 2021:

1. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 4,5 %.
2. Trickbot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 4 %.
3. Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 3 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Toisella sijalla oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrien tileille ja lopulta koko laitteen hallinnan. Kolmannella sijalla oli Android-haittaohjelma Flubot, joka esiintyy usein logistiikkayrityksenä ja jota levitetään tietojenkalastelutekstiviestien välityksellä. Kun käyttäjä klikkaa viestissä olevaa linkkiä, FluBot asennetaan ja hakkeri saa pääsyn puhelimen arkaluonteisiin tietoihin.

Check Pointin tutkijat listasivat myös elokuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään ”Web Server Exposed Git Repository Information Disclosure” on yritetty hyödyntää 45 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)”, jonka esiintyvyys oli 43 %. Kolmannella sijalla oli ”Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, jonka esiintyvyys oli 40 %.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin^TM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.

Lisätiedot:

Sampo Vehkaoja, Country Manager, Finland and Baltics, Check Point Software Technologies, sampov@checkpoint.com, p. 050 555 5500
Haastattelupyynnöt: Maija Rauha, viestintäkonsultti, OSG Viestintä, maija.rauha@osg.fi, p. 0400 630 065

Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

Podcast: https://research.checkpoint.com/category/cpradio/

Facebook: https://www.facebook.com/checkpointresearch