Kryptovaluuttoihin liittyvät haittaohjelmat
Kryptovaluuttoihin liittyvät haittaohjelmat ovat uusimmassa vaiheessaan, ja kyberrikolliset ovat kehittäneet entistä monipuolisempia ja viekkaampia keinoja varastaa digitaalista omaisuutta. Uuden aallon kärjessä ovat Librarian Ghouls, Venäjään keskittyvä edistynyt jatkuva uhka (APT) -ryhmä, sekä Crocodilus, monialustainen varkausryhmä, joka on saanut alkunsa Android-pankk Trojanista.
”Librarian Ghoulsin viimeisin kampanja hyödyntää legitiimiä ohjelmistoa, kuten AnyDeskia, piilottaakseen kryptovaluuttaan liittyviä haittaohjelmia ja näppäinohjainohjelmia. Kun he pääsevät sisään, he ovat hiljaa – keskiyöhön asti,” totesi Kaspersky Threat Intelligence 9. kesäkuuta 2025.
Hyökkäystaktiikat
Tämä APT-ryhmä naamioi hyökkäykset arkidokumenttien, kuten maksuhakemusten, alle kalastussähköposteissa. Kun sähköposti avataan, heidän haittaohjelmansa asentaa 4t Tray Minimizerin piilottaakseen haitalliset prosessit, aktivoi AnyDeskin etäyhteyksiin ja XMRigin Moneron louhintaan, sekä varastaa kryptolompakoiden tiedot ja rekisterin avaimet.
Uuden vuoden 2025 aikana haittaohjelma aktivoituu vain öisin, vähentäen havaitsemisen mahdollisuuksia. Hyökkäyksensä eivät perustu pelkästään väkivaltaiseen ryöstöön, vaan yhdistävät teknistä asiantuntemusta psykologiseen manipulointiin, iskevät jokaisessa kryptosykli vaiheessa.
Librarian Ghouls on myös optimoitunut naamioimaan itsensä legitiimeiksi liiketoimintasovelluksiksi, silloin tällöin piilottaen haittaohjelmaansa näennäisesti harmittomiin asiakirjoihin, kuten laskuihin. Uhrien voi kestää viikkoja ennen kuin he huomaavat, että jotain on pahasti pielessä, kun heidän lompakkonsa on tyhjennetty ja järjestelmänsä on vaurioitunut.
Crocodilus
Alun perin turkkilainen pankkihaittaohjelma, Crocodilus on laajentanut toimintaansa kansainvälisesti kryptokäyttäjiin. Se käyttää väärennettyjä sovelluksia, jotka naamioituvat esimerkiksi Coinbaseksi, MetaMaskiksi tai louhintatyökaluiksi.
”Crocodilus’n uusi parseri kerää siemenlauseita kirurgisella tarkkuudella. Yksi napsautus väärällä X-linkillä, ja lompakkosi on hävinnyt!” – ThreatFabric MTI -tiimi (3. kesäkuuta 2025).
Crocodilus on kehittänyt automatisoituja siemenlauseen keräilijöitä, jotka skannaavat laitteita lompakkotietojen löytämiseksi, ja käyttää sosiaalista manipulointia väärennettyjen ”Pankkitukihenkilöiden” kautta puhelimessa.
Haittaohjelman vaarallisin piirre on sen kyky varastaa siemenlauseita leikepöydän tiedoista, kuvakaappauksista ja automaattisesti täytetystä datasta, joskus jopa ennen kuin uhri on tietoinen siitä, että heitä on kohdistettu.
Myynti pimeillä markkinoilla
Uhat tarjoavat varastettuja kryptovaluuttoja myyntiin pimeillä markkinoilla, mikä luo kukoistavan mustan markkinan varastetulle kryptovaluuttaomaisuudelle. Ajan myötä Crocodilus jopa roskapostittaa viattomia ”tukinumeroita” uhrien puhelimiin, huijaten käyttäjiä jakamaan herkkiä tietoja teknisen tuen nimissä.
Erityinen esimerkki tapahtui touko-heinäkuussa 2025, kun syväväärennöksellinen ”Elon Musk” -lähetys kehotti katsojia skannaamaan QR-koodin ”TeslaCoin” -ilmaisjakelua varten, mikä johti yli 200 000 dollarin menetyksiin vain 30 minuutissa.
Yksi uhkaavimmista trendeistä on reaaliaikainen syväväärennösten tukikeskustelujen kehittäminen, joissa hakkerit käyttävät AI-pohjaisia avatar-näkyyttyjä tunnettuja brändejä tai vaikuttajia Twitterissä, tarjoten aitoja ja vuorovaikutteisia ”apua”, jotka houkuttelevat uhreja jakamaan siemenlauseitaan tai yksityisiä avaimiaan.
