Amerikkalainen tietoturvayhtiö Check Pointin tuore katsaus nostaa esiin kyberrikollisten koko ajan kasvavaa teknistä osaamista ja taktiikoita. Myös it-talo HP:n virusraportti kertoo, kuinka tekoäly avittavat verkkorikollisten toimintaa. Jopa verkkosivujen kuviin voidaan ujuttaa nykytekniikoin pahojakin haittaohjelmia.

Check Point Software Technologiesin joulukuun 2024 haittaohjelmakatsauksessa oli pääosassa tekoälyä hyödyntävä haittaohjelma FunkSec.  Esillä ovat myös jatkuvat uhat, kuten Suomen ja maailman yleisin haittaohjelma, FakeUpdates.  Niistä FunkSecin väitetään olevan kytköksissä Algeriaan, ja sen toimintaa ohjaavat sekä taloudellinen hyöty että haktivismi. Ryhmän tekoälyavusteiset taktiikat korostavat kehittyneiden teknologioiden kasvavaa roolia kyberuhkien maailmassa.

”Viimeisimmät kyberrikollisuuden suuntaukset korostavat valppauden ja innovaatioiden tärkeyttä kyberturvallisuudessa. Organisaatioiden on otettava käyttöön kehittyneitä uhkien torjuntamenetelmiä suojautuakseen yhä monimutkaisempia hyökkäyksiä vastaan”, toteaa Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen tilastoissa ykkösenä joulukuussa ollut  FakeUpdates (eli SocGholish), joka on JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista.  Toisena Suomessa oli joulukuussa  Androxgh0st, joka on bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin.

Haittaohjelmia tehtailevat ujuttavat haittaohjelmia tekoälyn avulla myös verkkosivujen kuvatiedostoihin, kertoo amerikkalainen it-yritys HP:n uusimmassa 1/25 -selvityksessään. Yrityksen Threat Insights -raportissa kerrotaan, kuinka uhkatoimijat hyödyntävät haittaohjelmapaketteja ja generatiivista tekoälyä (GenAI) tehostaakseen hyökkäyksiään.

HP:n mukaan tällaiset työkalut tekevät hyökkäysvälineiden luomisesta helpompaa ja nopeampaa. Hyökkääjät voivat keskittyä kiertämään havaitsemismenetelmiä ja huijata uhreja tartuttamaan päätelaitteitaan esimerkiksi upottamalla haitallista koodia kuvatiedostoihin. Tiedot on kerätty HP Wolf Security -asiakkailta heidän suostumuksellaan heinä–syyskuussa 2024.

Raportti tarjoaa analyysin todellisista kyberhyökkäyksistä ja auttaa organisaatioita pysymään ajan tasalla verkkorikollisten käyttämistä uusimmista tekniikoista nopeasti muuttuvassa kyberuhkien ympäristössä. Raportti perustuu miljoonien HP Wolf Securityä käyttävien päätelaitteiden dataan.

HP:n tutkijat havaitsivat laajoja kampanjoita, joissa levitettiin VIP Keylogger- ja 0bj3ctivityStealer-haittaohjelmia samoja tekniikoita ja latausohjelmia hyödyntäen. Molemmissa tapauksissa hyökkääjät piilottivat saman haitallisen koodin kuvatiedostoihin verkkopalveluissa kuten archive.org ja käyttivät samaa latausohjelmaa haitallisen sisällön asentamiseen.

Generatiivinen tekoälyn GenAI auttaa HP:n mukaan myös haitallisten HTML-dokumenttien luomisessa: Tutkijat havaitsivat XWorm Remote Access Trojan (RAT) -kampanjan, joka hyödynsi HTML smuggling -tekniikkaa. Haitallinen HTML-sivu sisälsi koodia, joka latasi ja suoritti haittaohjelman. Samoin kuin aiemmassa AsyncRAT-kampanjassa, latausohjelmassa oli merkkejä siitä, että se on saatettu kirjoittaa GenAI:n avulla. Tähän viittasivat esimerkiksi HTML-sivun rivikohtainen kuvaus ja ulkoasu.

Hyökkääjät ovat ottaneet haltuunsa videopelien huijaustyökaluja ja muokkausarkistoja GitHubissa lisäämällä suoritettavia tiedostoja, jotka sisältävät Lumma Stealer -haittaohjelman. Tämä tietovaras kaappaa uhrien salasanat, kryptolompakot ja selaintiedot. Käyttäjät kytkevät usein suojaustyökalut pois päältä ladatessaan ja käyttäessään huijausohjelmia, mikä kasvattaa tartuntariskiä ilman eristystekniikkaa.

Lisää: Check Point Softwaren 12/2024-tulokset (LINKKI) ja HP:n Threat Insight 1/2025  -raportti (LINKKI).

Kuvituskuva: Shutterstock