Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä

Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessa on viime aikoina havaittu JSocket RAT -haittaohjelmatartuntoja. JSocket RAT-haittaohjelmaa on levitetty sähköpostin liitetiedostojen avulla. Usein yhdistävänä tekijänä haitallisissa sähköpostiviesteissä on ollut niiden liittyminen taloudellisiin asioihin (laskut, tilaukset). JSocket RAT-haittaohjelma antaa saastuneen laitteen täydet hallintaoikeudet hyökkääjälle.

JSocket RAT on niin sanottu Remote Access Tool (RAT), joka pystyy saastuttamaan useita käytetyimpiä käyttöjärjestelmiä sekä Android-laitteita. Haittaohjelma antaa hyökkääjälle saastuneen laitteen täyden hallinnan. Hyökkääjä saa esimerkiksi pääsyn laitteelle tallennettuihin tiedostoihin sekä saa hallintaansa laitteen kameran, GPS-paikkatiedon ja mikrofonin.

JSocket RAT on kaupallistettu haittaohjelma eli sitä hyökkäyksissä käyttävät tahot ovat ostaneet kyseisen haittaohjelman. Haittaohjelman levittäjät voivat itse tämän jälkeen mukauttaa haittaohjelmaa esimerkiksi vaihtamalla sen nimeä, levitystapaa ja käytettävää sähköpostikampanjaa. Tästä syystä JSocket RAT -haittaohjelman tunnistetiedot saattavat vaihtua usein. Eri tietoturvatuotteissa haittaohjelma saattaa tunnistua mm. nimellä Adwind.P., AlienSpy, Frutas tai Unrecom. Kyberturvallisuuskeskuksen tiedossa on myös versioita, jotka eivät ole tunnistuneet virustorjuntaohjelmistoissa.

JSocket RAT-haittaohjelmaa on levitetty pääosin sähköpostin liitetiedostojen välityksellä. Useimmiten haittaohjelman levityksessä käytettävät viestit ovat liittyneet usein laskutus- tai maksuaiheisiin, kuten esimerkiksi laskuihin ja tilauksiin. Saapuneet liitetiedostot ovat tyypiltään .jar -tiedostoja mutta tiedostopääte on voitu pyrkiä piilottamaan tai liitetiedosto on voitu pakata zip-tiedostoon. Älypuhelimiin JSocket RAT-haittaohjelma voi myös tarttua virallisten sovelluskauppojen ulkopuolelta asennettujen sovellusten kautta.


Ohjeita loppukäyttäjille:

  • Suhtaudu varauksella tuntemattomilta lähettäjiltä tuleviin sähköpostiviesteihin.
  • Älä klikkaa viestien epäilyttäviä liitteitä tai linkkejä auki
  • Älä asenna mobiililaitteisiini sovelluksia virallisten sovelluskauppojen ulkopuolelta


Ohjeita tietohallinnolle ja ylläpitäjille:

  • Ohjeista käyttäjiä sähköpostin liitetiedostojen avaamiseen liittyvistä riskeistä.
  • Salli sovellusten asentamisen mobiililaitteisiin vain virallisista sovelluskaupoista.
  • Varmista, että organisaatioon sisään tuleva sähköpostiliikenne analysoidaan haittaohjelmien varalta.
  • Varmista, että työasemien paikalliset virustorjuntaohjelmistot ovat toiminnassa ja päivitetty viimeisimmillä haittaohjelmatunnisteilla.


Epäilyttävistä haittaohjelmaohjelmaviesteistä kannattaa ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle ja lähettää mahdollisuuksien mukaan näyte salasanasuojatussa zip-tiedostossa osoitteeseen cert(at)ficora.fi. Jos haittaohjelmatartunta on ehtinyt tapahtua, irrota kone verkosta, mutta älä sammuta konetta. Kyberturvallisuuskeskus suosittelee tekemään rikosilmoituksen mahdollisista tartunnoista.

Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Kyberturvallisuus , NCSC-FI , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248