Tietoturva Nyt!
Liikkeellä on haittaohjelmakampanja, jossa rikolliset levittävät näennäisiä PDF-editoreita. Ohjelma voi liittää laitteen osaksi bottiverkkoa ja varastaa tietoja. Turvallisin tapa hankkia uusia sovelluksia on ladata ohjelmistot vain virallisista lähteistä ja olla tarkkana liian hyviltä kuulostavien tarjousten kanssa.
Maailmalla ja Suomessa on havaittu haittaohjelmakampanja, jossa rikolliset levittävät haittaohjelmaa mainostamalla PDF-editoriohjelmistoa. Verkosta ladattava ohjelma voi näennäisesti toimia kuten PDF-tiedostojen muokkausohjelma, mutta todellisuudessa haittaohjelma ottaa yhteyden komentopalvelimiin ja liittää laitteen osaksi rikollisten hallinnoimaa välityspalvelinverkkoa. Tutummin bottiverkoiksi kutsutut järjestelmät ovat kaapatuista laitteista koostuvia verkkoja, joita voidaan käyttää rikolliseen toimintaan, kuten palvelunestohyökkäyksiin tai kybervakoiluun. Lisäksi haittaohjelma saattaa varastaa tietoa uhrin laitteesta. [1]
Kyberturvallisuuskeskus on saanut muutamia ilmoituksia kyseisestä haittaohjelmasta suomalaisilta organisaatioilta. Vastaavia haittaohjelmahavaintoja on tehty muissakin Euroopan maissa. Mikäli laitteelta löytyy PDF-editor haittaohjelma, Kyberturvallisuuskeskus suosittelee saastuneen laitteen uudelleenasennusta. Haitallista sisältöä voidaan levittää kaupallisia mainoksia hyödyntämällä. Mainosten estämiseen tarkoitetulla ohjelmalla voidaan estää mainosten näkyminen esimerkisi selaimessa, jolloin myös haittaohjelmien asentaminen näiden mainosten kautta estyy.
Asennukset on hyvä tehdä aina palveluntarjoajan tai valmistajan virallisilta verkkosivuilta. Ohjelmistoja ei tule ladata tuntemattomista lähteistä, vaikka ne näyttäisivät asiallisilta. Suhtaudu erityisen kriittisesti tarjouksiin, jotka kuulostavat liian hyvältä ollakseen totta. Jos tarvitset työtehtävien hoitamiseen PDF-editoria tai muuta sovellusta, pyydä oman organisaation IT-tuelta neuvoja sovelluksen lataamiseen.
Organisaatioiden on tärkeää varmistaa, että ohjelmistojen hankintakanavat ovat luotettavia ja että käytössä olevat valvontajärjestelmät tunnistavat epäilyttävän liikenteen. Myös henkilöstöä on hyvä muistuttaa haittaohelmien riskeistä ja neuvoa oikeista prosesseista uusien sovellusten asentamiseksi.
[1] https://gbhackers.com/threat-actors-weaponize-pdf-editor-trojan/ (Ulkoinen linkki)
Organisaatioiden on hyvä tehdä seuraavat toimenpiteet:
- Tutki työasemat haittaohjelmien varalta
- Aseta monitorointi haittaohjelman prosesseille
- Estä haitallisten C2-palvelinten IP-osoitteet
Lisätietoja ja teknisiä tunnisteita muualla: