LOBSHOT البرامج الضارة
تم اكتشاف تهديد جديد للبرامج الضارة يسمى LOBSHOT ليتم توزيعه من خلال إعلانات Google وهو قادر على إصابة أجهزة Windows باستخدام hVNC. وقد لاحظ باحثو الأمن السيبراني البرمجيات الخبيثة التي يتم الترويج لها من خلال الإعلانات التي تبدو وكأنها لبرنامج إدارة عن بعد AnyDesk الشرعي. ومع ذلك ، فإن الإعلانات الضارة تقود المستخدمين بدلاً من ذلك إلى موقع ويب مزيف. تدفع هذه الصفحة ، "amydeecke.website" ، ملف MSI ضارًا يقوم بدوره بتنفيذ أمر PowerShell. الهدف هو تنزيل DLL من download-cdn [.] com ، وهو مجال كان مرتبطًا سابقًا بأنشطة المجرمين الإلكترونيين لمجموعة TA505 / Clop ransomware.
ملف DLL الذي تم تنزيله هو برنامج LOBSHOT الضار ويتم حفظه في المجلد C: \ ProgramData ، حيث يتم تنفيذه بواسطة RunDLL32.exe. وفقًا لتقرير كشف عن تفاصيل حول LOBSHOT ، لاحظ الباحثون أكثر من 500 عينة LOBSHOT فريدة من نوعها منذ يوليو 2022. وعادة ما يتم تجميع العينات المحددة على شكل DLLs 32 بت أو 32 بت الملفات التنفيذية التي تتراوح بين 93 كيلو بايت إلى 124 كيلو بايت. بمجرد التنفيذ على الأجهزة التي تم اختراقها ، يتحقق LOBSHOT مما إذا كان Microsoft Defender قيد التشغيل وإنهاء تنفيذه إذا تم اكتشافه.
جدول المحتويات
مجرمو الإنترنت يستغلون إعلانات Google لتوزيع تهديدات البرامج الضارة
لاحظ خبراء الأمن السيبراني ارتفاعًا كبيرًا في استخدام إعلانات Google من قبل الجهات الفاعلة في التهديد لنشر البرامج الضارة من خلال نتائج البحث. تضمنت الحملات الإعلانية الخبيثة تقليد العديد من مواقع الويب ومنتجات البرامج المشروعة ، مثل 7-ZIP و VLC و OBS و Notepad ++ و CCleaner و TradingView و Rufus والعديد من التطبيقات الأخرى.
على الرغم من انطباع الشرعية الذي أعطته الإعلانات ، فإن مواقع الويب التي يعيدون التوجيه إليها مصممة بالفعل لنشر البرامج الضارة ، بما في ذلك Gozi و RedLine و Vidar و Cobalt Strike و SectoRAT و Royal Ransomware بدلاً من توفير تطبيقات أصلية.
تستهدف البرامج الضارة LOBSHOT ملحقات ومحافظ العملات المشفرة
إذا لم يعثر LOBSHOT على علامات على وجود Microsoft Defender ، فسيواصل البرمجة التهديدية. سيقوم التهديد تلقائيًا بتكوين إدخالات التسجيل لضمان بدء تشغيله في كل تمهيد من Windows. سيقوم LOBSHOT بعد ذلك بجمع معلومات النظام والبدء في نقلها ، بما في ذلك جميع العمليات الجارية ، من الجهاز المصاب. بالإضافة إلى ذلك ، تبحث البرامج الضارة عن وجود 32 امتدادًا لمحفظة Chrome cryptocurrency ، وتسعة ملحقات لمحفظة Edge ، و 11 امتدادًا لمحفظة Firefox.
عند اكتشاف هذه الامتدادات ، تنفذ البرامج الضارة ملفًا في المجلد C: \ ProgramData. ومع ذلك ، فإن الباحثين غير متأكدين مما إذا كان الغرض من الملف هو استخراج بيانات الامتداد أو بعض الإجراءات الضارة الأخرى.
على الرغم من أن جمع امتدادات العملات المشفرة يعد هدفًا شائعًا للبرامج الضارة ، إلا أن البرنامج الضار LOBSHOT يحتوي أيضًا على وحدة hVNC مدمجة في هيكلها. تتيح هذه الوحدة للجهات الفاعلة في التهديد الوصول إلى جهاز مصاب عن بعد.
توفر برامج LOBSHOT الضارة الوصول عن بُعد إلى الأجهزة التي تم اختراقها
أصبحت القدرة على التحكم عن بعد بجهاز كمبيوتر مكتبي يعمل بنظام Windows دون علم الضحية ممكنة بفضل وحدة hVNC (حوسبة الشبكة الافتراضية المخفية).
يشتمل البرنامج الضار المعروف باسم LOBSHOT على وحدة hVNC ، والتي تمكن المهاجمين من التعامل مع سطح المكتب المخفي كما لو كانوا موجودين فعليًا أمامه ، باستخدام لوحة المفاتيح والماوس.
بمجرد تنشيط الوحدة ، يبدأ جهاز الضحية في إرسال لقطات شاشة لسطح المكتب المخفي إلى عميل مستمع يتحكم فيه المهاجم. يمكن للمهاجم التفاعل مع العميل من خلال التلاعب بلوحة المفاتيح والنقر على الأزرار وتحريك الماوس ، ومنحهم تحكمًا كاملاً عن بعد بالجهاز.
من خلال الوصول الكامل الممنوح من قبل hVNC ، يمكن لممثلي التهديد تنفيذ أنشطة مختلفة ، مثل تنفيذ الأوامر ، وسرقة البيانات ، ونشر حمولات البرامج الضارة الإضافية.
