FakeUpdates pitää pintansa – perushaittaohjelmat naamioituvat huipputason hyökkäyksiksi

Check Pointin huhtikuun haittaohjelmakatsaus paljastaa: FakeUpdates yhä yleisin Suomessa ja maailmalla – Remcos ja AgentTesla osana uutta huipputaitavaa hyökkäysketjua.

ESPOO – 12. toukokuuta 2025 – Maailman johtava kyberturvallisuusratkaisujen tarjoaja ja alan edelläkävijä Check Point Software Technologies (NASDAQ: CHKP) on julkaissut huhtikuun 2025 haittaohjelmakatsauksensa. Raportin mukaan FakeUpdates jatkoi maailman yleisimpänä haittaohjelmana, vaikuttaen 6 prosenttiin organisaatioista maailmanlaajuisesti. Suomessa sen esiintyvyys oli 4,02 prosenttia. .

Tutkijat havaitsivat huhtikuussa kehittyneen monivaiheisen hyökkäyskampanjan, jossa käytettiin AgentTesla-, Remcos- ja Xloader-haittaohjelmia. Hyökkäykset käynnistyivät tietojenkalastelusähköposteilla, jotka oli naamioitu tilausvahvistuksiksi ja sisälsivät haitallisen 7-Zip-arkiston. Arkistossa ollut JScript Encoded (.JSE) -tiedosto käynnisti Base64-koodatun PowerShell-komennon, joka puolestaan johti .NET- tai AutoIt-pohjaisen haittaohjelman suorittamiseen. Lopullinen haittakoodi injektoitiin laillisiin Windows-prosesseihin, kuten RegAsm.exe tai RegSvcs.exe, mikä teki sen havaitsemisesta erittäin haastavaa. 

Tutkijoiden mukaan kyseessä on esimerkki kyberrikollisuuden kehittyvästä suuntauksesta, jossa aiemmin yksinkertaiset haittaohjelmat, kuten AgentTesla ja Remcos, integroidaan monimutkaisiin hyökkäysketjuihin. Näissä hyödynnetään edistyneitä tekniikoita, jotka muistuttavat valtiollisten toimijoiden toimintaa ja hämärtävät rajaa taloudellisten ja poliittisten uhkien välillä.

”Tämä kampanja osoittaa selvästi, kuinka monimutkaisiksi kyberuhat ovat kehittyneet. Hyökkääjät yhdistelevät koodattuja komentosarjoja, laillisia prosesseja ja kerroksellisia toteutuksia pysyäkseen näkymättömissä. Aiemmin vähäpätöisinä pidetyt haittaohjelmat voivat nyt olla osa erittäin kehittyneitä hyökkäyksiä. Organisaatioiden on tärkeää siirtyä ennakoivaan suojausmalliin, joka hyödyntää reaaliaikaista uhkatietoa, tekoälyä ja käyttäytymisanalytiikkaa”, sanoo Check Point Softwaren uhkatiedustelun johtaja Lotem Finkelstein.

Lisäksi uusi kiristyshaittaohjelmaryhmä nimeltä SatanLock havaittiin ensimmäistä kertaa huhtikuussa. Ryhmä on ilmoittanut 67 uhrista, mutta yli 65 prosenttia näistä tapauksista on aiemmin yhdistetty muiden rikollisryhmien hyökkäyksiin. Tämä viittaa siihen, että SatanLock pyrkii kasvattamaan näkyvyyttään liittämällä itsensä jo tunnettuihin hyökkäyksiin.

Suomen yleisimmät haittaohjelmat huhtikuussa 2025:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka huijaa käyttäjiä asentamaan tekaistuja selainpäivityksiä. Tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista ja toimii väylänä muun muassa GootLoaderin, Dridexin ja AZORultin kaltaisille haittaohjelmille. Esiintyvyys 4,02 %.
2. Androxgh0st – Pythonilla kirjoitettu bottiverkkohaittaohjelma, joka hyödyntää mm. Laravel- ja Apache-järjestelmien haavoittuvuuksia. Se varastaa arkaluonteisia tietoja kuten AWS-avaimia ja Twilio-tunnuksia, ja sitä käytetään usein pilvipalveluiden väärinkäyttöön. Esiintyvyys 1,79 %.
3. Shiz – Windows-järjestelmiin kohdistuva takaovi, joka piiloutuu laillisiin prosesseihin. Shiz voi varastaa käyttäjätietoja ja älykorttitietoja sekä vastaanottaa komentoja etäpalvelimelta. Esiintyvyys 0,89 %.
4. AsyncRat – Etähallintatroijalainen (RAT), joka kerää tietoja järjestelmästä ja suorittaa komentoja, kuten prosessien tappaminen ja näyttökuvien ottaminen. Se leviää usein tietojenkalastelun kautta. Esiintyvyys 0,89 %.
5. Wacatac –  Troijalainen, joka lukitsee tiedostoja muuttamalla niiden nimiä, mutta ei varsinaisesti salaa niitä kuten kiristyshaittaohjelmat. Yleensä leviää roskapostien ja tekaistujen ohjelmien mukana. Esiintyvyys 0,45 %.

Maailman yleisimmät haittaohjelmat huhtikuussa 2025:

1. ↔  FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6 %.
2. ↔  Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 3 %.
3. ↔  AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 3 %.

Maailmanlaajuisesti eniten kyberhyökkäysten kohteeksi joutuneet toimialat:

1. Koulutus
2. Julkishallinto
3. Telekommunikaatio.

Aktiivisimmat kiristysryhmät huhtikuussa 2025:

Useat tunnetut ja nousevat kiristyshaittaohjelmaryhmät jatkoivat aktiivista toimintaansa huhtikuussa 2025. Uusi kiristyshaittaohjelmaryhmä nimeltä SatanLock havaittiin ensimmäistä kertaa huhtikuussa. Ryhmä on ilmoittanut 67 uhrista, mutta yli 65 prosenttia näistä tapauksista on aiemmin yhdistetty muiden rikollisryhmien hyökkäyksiin. Akira oli aktiivisin kiristyshaittaohjelmaryhmä ja vastasi 11  prosentista julkaistuista hyökkäyksistä (Satanlock  ja Qilin molemmat 10  %).

1. Akira – Kiristyshaittaohjelmaryhmä, joka kohdistuu Windows- ja Linux-järjestelmiin. Ryhmä on yhdistetty tietojenkalastelukampanjoihin ja VPN-päätelaitteiden haavoittuvuuksien hyväksikäyttöön, mikä tekee siitä merkittävän uhan organisaatioille. Vastasi 11 % julkaistuista hyökkäyksistä ja kohdistui erityisesti VPN-haavoittuvuuksia hyödyntäen.
   
   
2. SatanLock – Uusi kiristyshaittaohjelmaryhmä, jonka toiminta tuli julkisuuteen huhtikuun alussa. SatanLock on julkaissut 67 uhria, mutta yli 65 % näistä on aiemmin liitetty muiden toimijoiden hyökkäyksiin. Tämä viittaa tyypilliseen uuden ryhmän toimintamalliin, jossa tunnettuutta haetaan jo raportoiduilla tapauksilla. (10 % julkaistuista hyökkäyksistä).
   
   
3. Qilin (Agenda) – Qilin (tunnetaan myös nimellä Agenda) – Kiristysohjelmapalveluna (ransomware-as-a-service, RaaS) toimiva rikollisoperaatio, joka yhteistyökumppaneidensa kanssa salaa ja varastaa tietoja murrettujen organisaatioiden järjestelmistä ja vaatii niistä lunnaita. Qilin havaittiin ensimmäisen kerran vuonna 2022, ja se on kehitetty Golang-ohjelmointikielellä. Sen kohteina ovat olleet muun muassa terveydenhuolto- ja koulutussektorin toimijat, erityisesti suuryritykset. Qilin leviää yleensä haitallisia linkkejä sisältävien tietojenkalasteluviestien kautta. Saatuaan pääsyn verkkoon se pyrkii viemään arkaluonteista tietoa ja laajentamaan pääsyään verkon sisällä salattavan datan löytämiseksi. (10 % julkaistuista hyökkäyksistä).
   
   

Koko huhtikuun 2025 haittaohjelmakatsaus on luettavissa Check Pointin blogissa: https://blog.checkpoint.com/security/april-2025-malware-spotlight-fakeupdates-dominates-as-multi-stage-campaigns-blend-commodity-malware-with-stealth 

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software, jarnoa@checkpoint.com, p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software, viivit@checkpoint.com, p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Pointia:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal