Sikkerhetsselskapet Check Point publiserer hver måned en oversikt over de største truslene selskapet har registrert. Nylig la selskapet ut listen for desember, og denne gangen har en nykommer inntatt listen.
Ifølge Check Point er det en skadevare kalt «FakeUpdates», også kjent som «SocGholish», som topper listen – både i Norge og globalt.
Laster ned mange typer skadevare
SocGholish har en spredningsprosent på 2,43 prosent globalt og 2,12 prosent i Norge. Spredningsprosenten refererer til andelen organisasjoner som ble rammet av skadevaren
SocGholish/FakeUpdates er en såkalt «downloader»-programvare skrevet i Javascript som primært fungerer ved å laste ned andre typer skadevare, og ved å profilere brukerne som har lastet ned den.
Skadevaren har også blitt omtalt av blant andre sikkerhetsselskapet Proofpoint, som i fjor sommer publiserte en gjennomgang av hvordan programvaren fungerer.
Ifølge Proofpoint spres skadevaren hovedsakelig ved at aktørene bak først kompromitterer en legitim nettside som infiseres med ondsinnet kode. Denne koden analyserer brukere for å finne ideelle kandidater for videre angrep.
Dersom brukerne innfrir bestemte kriterier, starter den andre fasen – nedlastning av selve skadevaren, som ofte kamuflerer seg som en falsk nettleseroppdatering.
Skadevare: |
Beskrivelse |
Spredning Norge |
Spredning globalt |
FakeUpdates |
Nedlastingsprogram skrevet i JavaScript. |
2,12 % |
2,32 % |
AsyncRat |
RAT-trojaner som retter seg mot Windows-plattformen. |
1,30 % |
1,07 % |
Darkgate |
Multifunksjonsskadelig programvare som kombinerer løsepengeprogramvare, tyveri av legitimasjon og evner til RAT og kryptominering. |
0,81 % |
0,43 % |
Proslikefan |
Orm som sprer seg gjennom nettverksdelinger, flyttbare stasjoner og peer-to-peer-programmer. |
0,49 % |
0,02 % |
Injuke |
Injuke er en trojaner som hovedsakelig spres via phishing-poster. |
0,49 % |
0,21 % |
RAT-programvare på andreplass
Deretter oppretter skadevaren kommunikasjon med kontrollserveren for å motta ytterligere instrukser, samtidig som den fortsetter å profilere brukerne. Instruksene kan bestå i å laste ned annen skadevare, for eksempel utpressingsvirus og RAT-programvare (remote access trojan).
Proofpoint hevder at SocGholish/FakeUpdates er vanskelig å beskytte seg mot og at den er i stand til å omgå selv avanserte e-post-sikkerhetsløsninger.
På andreplass i Norge ligger en skadevare døpt AsyncRat, som er en RAT-programvare (remote access trojan) designet for å fjernovervåke og kontrollere andre systemer gjennom en kryptert forbindelse.
Skadevaren sender systeminformasjon om offerets system til en ekstern server, og mottar kommandoer fra serveren for å blant annet laste ned og kjøre plugins, drepe prosesser, avinstallere/oppdatere seg selv og ta skjermbilder av det infiserte systemet.
AsyncRat har ifølge Check Point en spredningsprosent i Norge på 1,30 prosent – og rett over 1 prosent globalt.
Flere funn finner du på sikkerhetsselskapets egne nettsider.
Rapport: Den mest utbredte skadevaren i Norge er en trojaner som kan stjele bankdataene dine