Tietoturvayhtiö Check Point Software varoittaa uusimmassa haittaohjelmakatsauksessaan, että alkamassa oleva verkkokaupan sesongissa kannattaa olla varuillaan AgentTesla-haittaohjelmasta, joka leviää sähköpostina. Myös kotimainen F-Secure kehoittaa suomalaisia valppauteen loppuvuoden ostoksissaan. Yhtiö tarjoaa avuksi myös palvelun, jolla voi tarkistaa verkkokaupan vaarattomuuden.

Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut lokakuun 2023 haittaohjelmakatsauksensa.  Yhtiön tutkijat kertovat, että viime kuussa maailman toiseksi yleisemmäksi haittaohjelmaksi nousi etäkäyttötroijalainen (RAT) NJRat, jonka kohteena ovat valtion virastot ja organisaatiot Lähi-idässä.

Check Pointin tutkijat kertovat myös uudesta haitallisesta sähköpostikampanjasta, jossa on mukana toinen kehittynyt haittaohjelmaa RAT, AgentTesla. Sit levitettiin lokakuussa Check Pointin mukaan arkistotiedostoissa, jotka sisälsivät haitallisen Microsoft Compiled HTML Help (.CHM) -laajennuksen.

Tiedostoja jaettiin sähköpostitse .GZ- tai .zip-liitteinä, ja niiden nimet viittasivat äskettäin tehtyihin tilauksiin ja toimituksiin, kuten ’po-######.gz’ tai ’shipping documents.gz’. Tarkoituksena oli houkutella uhreja lataamaan haittaohjelma.

Jos asensi ohjelman niin AgentTesla pystyi tallentamaan kaikki koneen näppäilyn, kaappaamaan leikepöydän tiedot, pääsemään käsiksi tiedostojärjestelmään ja siirtämään varastettuja tietoja huomaamatta komento- ja hallintapalvelimelle.

’’Kun marraskuussa alkaa kiireinen ostoskausi, on tärkeää pysyä valppaana ja muistaa, että verkkorikolliset käyttävät aktiivisesti hyväkseen lisääntynyttä kiinnostustamme verkko-ostoksiin ja -toimituksiin”, sanoo Maya Horowitz Check Point Softwarelta.

F-Securelta palvelu vale-nettikauppojen tunnistamiseen

Suomalainen tietoturvayhtiö F-Secure tuo tarjolle uuden ilmaisen työkalun verkossa olevien valekauppojen tunnistamiseen.  Aitojen verkkokauppojen ja valekauppojen erottaminen toisistaan on todella vaikeaa, ja kuluttajien huijaamisesta on tullut yhä ammattimaisempaa.

Siksi F‑Secure on julkaissut ilmaisen työ­kalun (F‑Secure Online Shopping Checker, LINKKI palveluun), joka auttaa kuluttajia varmistamaan verkko­kaupan aitouden. Varsinkin kun aidon näköisiä huijaus­sivustoja syntyy yhtiön mukaan koko ajan lisää, joten tunnistuspalvelulle lienee tarvetta.

Pelkästään  Black Friday ‑tarjoukset sekä joulu­ostokset ajavat monet etsimään parhaimpia tarjouksia verkosta tulevien viikkojen aikana. Valitettavasti tämä avaa myös huijareille erin­omaisen mahdollisuuden pystyttää uusia vale­kauppoja sekä kehitellä erilaisia tarjous­houkuttimia.

F‑Securen kyselyn mukaan suomalaiset ovat kärsineet verkko­kauppa­huijauksista erityisesti teknologian ja muodin saralla.  Ja nettikaupan kokoa voi olla vaikea arvioida suoraan, eikä sen mittakaava sinänsä kerro yhtiön luotettavuudesta.

F‑Securen tekemän kyselyn mukaan suomalaisostajat kertoivat tekevänsä joitakin perustarkastuksia itse ennen verkko-ostosten tekoa. Kaikista yleisimpiä tarkastus­toimenpiteitä oli tarkastaa verkkokaupan URL-osoite, kaupan katu­osoite sekä verkosta löytyvät suosittelut. Harva kuitenkaan osaa tarkistaa URL-osoitetta tarkemmin.

URL:n tarkastamisen voi karkeasti ottaen tehdä kahdella tavalla. Voi tarkastaa silmä­määräisesti, vastaako sivuston osoite sivustolla myytävää tuotetta. Yleisesti on hyvä tarkistaa, onko sivusto uusi ja vasta hetki sitten rekisteröity. Jos näin on, verkko­kauppaan kannattaa suhtautua varauksella.

Jos mahdollista, käytä erilaisia apu­välineitä, kuten F‑Securen uutta Online Shopping Checker ‑työkalua tunnistamaan, onko kyseessä aito ja laillinen verkkokauppa. Se on hyvä apu, sillä se pyrkii tarkastamaan verkko­kaupan monia erilaisia laatu­ominaisuuksia.

F-Securen  tsekkausohjelma analysoi myös sivuston teknisiä ominaisuuksia (mm. verkko­sivuston suosio, kuinka kauan sivusto on ollut toiminnassa, linkit, palvelin­tiedot, haku­koneiden esto, SSL-sertifikaatti), kommentteja ja arvosteluita sekä ulkoisia tietoja (kuten DNS-suodattimia). Lisäksi verkko­sivun turvallisuutta analysoivat tieto­turva-asian­tuntijat.

Aloituskuva: Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla.

Suomen yleisimmät haittaohjelmat lokakuussa 2023, Check Point

1. Zegost – Windows-alustalle suunnattu takaovi. Haittaohjelma mahdollistaa tartunnan saaneen isäntäjärjestelmän luvattoman etäkäytön. Esiintyvyys 1,69 %.
2. Cuba – C++-pohjainen kiristyshaittaohjelma, joka kohdistuu Windows-järjestelmiin. Esiintyvyys 1,69 %.
3. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,69 %.
4. Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta. Kun haittaohjelma on onnistuneesti lisätty, se salaa uhrin tietokoneella olevat tiedot tai estää työkalua toimimasta oikein sekä esittää samalla lunnasvaatimuksen. Esiintyvyys 0,84 %.
5. SysJoker – SysJoker on monialustainen takaovi, joka kohdistuu Windowsiin, Maciin ja Linuxiin. Esiintyvyys 0,84 %.
6. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 0,84 %.
7. AsyncRat – Windows-troijalainen, joka lähettää tietoja kohdejärjestelmästä etäpalvelimelle. Se voi muun muassa ladata ja suorittaa laajennuksia, päivittää itsensä ja ottaa kuvakaappauksia. Esiintyvyys 0,84 %.
8. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 0,84 %.
9. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 0,84 %.
10. Proslikefan – Mato, joka kohdistuu JavaScriptiä tukeviin Windows-järjestelmiin. Haittaohjelma yrittää levitä verkkojakojen, siirrettävien asemien ja vertaisohjelmien kautta. Se yrittää lähettää järjestelmätietoja etäpalvelimelle ja saattaa ladata konfiguraatiotietoja tai tiedostoja etäpalvelimelta. Esiintyvyys 0,42 %.