Haittaohjelmaa jaettu sähköpostin liitteenä laajasti viime viikon lopulla

Tuntemattomilta lähettäjiltä saapuvien sähköpostien linkkeihin ja liitteisiin tulee suhtautua epäillen. Älä klikkaa linkkejä tai avaa liitetiedostoja jos et ole aivan varma niiden asiallisuudesta.

Viestintäviraston tutkittavaksi on toimitettu näyte viime viikon lopulla laajasti jaellusta haittaohjelmasta. Tässä tapauksessa haittaohjelman sisältämää sähköpostia on lähetetty väärillä yhteystiedoilla, sekä väärentämällä sähköpostin lähettäjän osoite.

Tutkimaamme sähköpostiin on väärennetty lähettäjäksi yritys ja suomalaisen yrittäjän yhteystiedot. Todellisuudessa sähköpostit on lähetetty ulkomaisen palvelimen kautta. Tässä tapauksessa sähköposti on lähetetty otsikolla:

"FW: Payment Advice - Advice Ref:[GC1966851027] / ACH credits / Customer Ref:[199319] / Second Party Ref:[2135721]"

Sähköpostissa on Payment_Advice.jar -niminen liite, joka asentaa saastuneelle koneelle JBifrost-haittaohjelman. Tämän avulla hyökkääjä saa muodostettua etäyhteyden saastuneeseen koneeseen. Saastunut kone liikennöi TCP-porttiin 2318 osoitteessa www[.]creativeforwardings[.]cf (IP-osoite 185.84.181[.]78)

Viestintävirasto muistuttaa, että tuntemattomien lähettäjien sähköposteihin ja liitteisiin tulee suhtautua epäillen, eikä tuntemattomia liitteitä tule avata.


Harkitse kahdesti ennen kuin avaat sähköpostin liitetiedoston

Haittaohjelmia jaellaan varsin laajasti sähköpostin sisältäminä linkkeinä tai liitetiedostoina. Usein lähettäjän osoite väärennetään ja haitallista sisältöä lähetetään jonkin olemassa olevan yrityksen tai yksityishenkilön nimissä. Viime aikoina haittaohjelmia on jaettu laajasti esimerkiksi huolintayhtiöiden nimissä, mutta haittaohjelmia on naamioitu myös skannereiden lähettämiksi dokumenteiksi.

Haitallinen sähköposti voi sisältää linkin tai liitteen, jonka avaamalla uhrin kone saastuu haittaohjelmalla. Syksyn aikana tällä tavoin on jaettu etenkin tietoja salaavia kiristyshaittaohjelmia, mutta myös muita, perinteisempiä, haittaohjelmia.

Liitteinä olevat haittaohjelmat on naamioitu erilaisilla tiedostopäätteillä oleviksi tiedostoiksi. Huolintaliikkeiden nimissä lähetetyissä sähköposteissa on havaittu ZIP- ja PDF-tiedostoja, jotka ovat todellisuudessa olleet EXE-tiedostoja, jotka suorittamalla uhrikone on saastunut.

Liitetiedostot ovat voineet sisältää myös Microsoft Office-tiedostoja, joiden makroihin on kirjoitettu haitallista koodia. Käyttäjän salliessa tällaisen dokumentin makrojen suorittamisen (Enable content-toiminne) haittaohjelma asentuu uhrikoneelle.

Viestintävirasto pyytääkin kinnittämään erityistä huomiota erityisesti tuntemattomilta lähettäjiltä tuleviin sähköposteihin ja niiden liitetiedostoihin. Mikäli olet saamassa lähetyksen huolintayhtiöltä, seuraa paketin kulkua kirjoittamalla osoite selaimen osoiteriville ja etsimällä lähetys seurantakoodilla, jonka olet saanut lähettäjältä tilauksen yhteydessä. Mikäli et tiedä tilanneesi mitään älä, edes uteliaisuuttasi, avaa sähköpostien liitteitä.

Suojautuminen

Sähköpostin vastaanottaja voi suojautua haitallisilta sähköposteilta käyttämällä ajantasaista virustunnistusohjelmistoa ja pitämällä tietokoneen ohjelmistot päivitettyinä, sekä tiedostamalla uhkan ja tunnistamalla ja poistamalla haitalliset sähköpostit.

Lähettäjäosoitteen väärentämisen voi estää käyttämällä DMARC (Domain-based Message Authentication, Reporting & Conformance) -mekanismia lähettäjätietojen varmistamiseksi. DMARC hyödyntää olemassa olevia SPF (Sender Policy Framework) ja DKIM (Domain Keys Indentified Mail) -menetelmiä. CERT-EU:n englanninkielinen tiivistelmä DMARC-mekanismista  DMARC — Defeating E-Mail Abuse

Lisätietoa:

Päivityshistoria


Asiasanat: Tietoturva, Huijaus, Sähköposti, Tietoturva nyt!


LinkedIn Print