LOBSHOT Зловреден софтуер, открит чрез разследване за злонамерена реклама
Изследователите на Elastic Security Labs наскоро откриха нов злонамерен софтуер, наречен LOBSHOT , по време на задълбочено разследване на увеличаване на кампаниите за злонамерена реклама. LOBSHOT е от особен интерес, тъй като предоставя на заплахите скрит VNC (Virtual Network Computing) достъп до заразените устройства. Изследователите също откриха връзки между злонамерения софтуер и TA505, финансово мотивирана киберпрестъпна група, известна с внедряването на различни ransomware и банкови троянски коне .
Съдържание
Скок в злонамерените рекламни кампании
Кампаниите за злонамерена реклама нарастват на брой и техният скрит характер затруднява потребителите да правят разлика между легитимни и злонамерени реклами. Изследователите по сигурността са забелязали, че този ръст може да се дължи на заплахи, които продават злонамерена реклама като услуга, което допълнително подчертава важността да бъдете бдителни, когато взаимодействате с онлайн реклами.
По време на своите изследвания Elastic Security Labs наблюдават забележителен скок в кампаниите за злонамерена реклама, използващи експлойт комплекти за насочване към специфични уязвимости в широко използвани приложения. Тези кампании се наблюдават все по-често в няколко популярни уебсайта, излагайки милиони потребители на потенциални заплахи. Обикновено посетителите на тези уебсайтове се сблъскват със злонамерени реклами, които при щракване пренасочват към целева страница на комплект за експлоатация, където LOBSHOT в крайна сметка се изпълнява на устройството на потребителя.
TA505 Инфраструктура
TA505 , киберпрестъпната група, за която се подозира, че стои зад разработването и внедряването на LOBSHOT, отдавна е призната за своите широкообхватни злонамерени дейности. Тази група е известна със своята добре организирана и разнообразна гама от кампании за атаки, като се фокусира конкретно върху финансовите институции като техни основни цели, но също така разширява своите злонамерени дейности към други индустрии.
След анализа на LOBSHOT, Elastic Security Labs установи ясно припокриване между инфраструктурата на злонамерения софтуер и идентифицираната по-рано инфраструктура TA505. Сходството в методологиите за атака и припокриващата се инфраструктура дава достоверност на хипотезата, че TA505 е отговорен за разработването и активното използване на LOBSHOT.
Скрит VNC достъп
Един от най-тревожните аспекти на LOBSHOT е неговата способност да предоставя на заплахите скрит достъп до устройствата на жертвите чрез VNC. Тази специфична функция позволява на атакуващите да получат отдалечен достъп до заразено устройство, като заобикалят съгласието на потребителя, като им предоставя възможност да наблюдават, манипулират и ексфилтрират чувствителни данни без знанието на потребителя. Скритият VNC достъп прави LOBSHOT мощен и опасен инструмент в арсенала на киберпрестъпниците, особено тези с финансови мотиви.
Метод на разпространение
Наблюдавано е, че методът на разпространение на злонамерен софтуер LOBSHOT включва измамни тактики, като се използват Google Ads и фалшиви уебсайтове, за да се привлекат нищо неподозиращи жертви. Тези техники допълнително демонстрират сложността и адаптивността на заплахите зад този злонамерен софтуер, което прави още по-важно за крайните потребители да бъдат внимателни, когато сърфират и кликват върху реклами.
Фалшиви уебсайтове чрез Google Ads
Един от основните начини за разпространение на LOBSHOT е чрез използването на фалшиви уебсайтове, рекламирани чрез Google Ads. Актьорите на заплахите създават и поддържат тези фалшиви уебсайтове, които са предназначени да имитират легитимни уебсайтове и услуги. Използвайки платформата Google Ads, противниците могат да показват своите злонамерени реклами на нищо неподозиращи потребители, които могат да кликнат върху рекламите с впечатлението, че са истински, което води до инсталирането на зловреден софтуер LOBSHOT на техните устройства.
Пренасочване на потребители към фалшив домейн на AnyDesk
Освен използването на фалшиви уебсайтове, процесът на разпространение на зловреден софтуер LOBSHOT също включва пренасочване на потребителите към фалшив домейн на AnyDesk. AnyDesk е популярно приложение за отдалечен работен плот, на което много фирми и физически лица разчитат за отдалечен достъп и поддръжка. Актьорите на заплахата са се възползвали от това доверие, като са създали фиктивен домейн AnyDesk, за да заблудят потребителите да изтеглят злонамерена версия на софтуера, който всъщност е злонамерен софтуер LOBSHOT. Този метод допълнително подчертава хитрите тактики, използвани от тези киберпрестъпници, за да впримчат жертвите и да изпълнят техните злонамерени дейности.
Инсталиране чрез компрометирана система
В някои случаи зловредният софтуер LOBSHOT може да бъде инсталиран на устройството на жертвата чрез компрометирана система. Това може да се случи, ако потребителят несъзнателно посети или изтегли съдържание от уебсайт, който е бил заразен от зловреден софтуер, или ако е станал цел на кампания за фишинг. След като злонамереният софтуер успешно е проникнал в устройството на жертвата, той може да предостави скрит VNC достъп на заплахата, който след това може дистанционно да контролира и манипулира системата по желание.
Възможностите на LOBSHOT
Злонамереният софтуер LOBSHOT може да се похвали с набор от страхотни възможности, които го правят умел в проникването и експлоатирането на потребителски устройства. Злонамереният софтуер се фокусира основно върху скрити виртуални мрежови изчисления (hVNC), позволявайки на нападателите да контролират отдалечено заразените устройства и да имат достъп до техния потребителски интерфейс. Основните възможности на LOBSHOT включват:
Скрити виртуални мрежови изчисления (hVNC)
В основата на функционалността на LOBSHOT е способността му да предоставя скрит VNC достъп до жертвените устройства. Чрез hVNC на нападателите се предоставя скрит метод за дистанционно управление на устройство без съгласието или знанието на жертвата. Функцията hVNC прави LOBSHOT особено опасен, тъй като позволява на лошите актьори да поддържат скрито присъствие на компрометирани устройства, докато извършват различни престъпни дейности.
Дистанционно управление на устройството
Възможностите на hVNC на LOBSHOT позволяват на атакуващите да поемат пълен контрол над заразените устройства, изпълнявайки команди, правейки промени и осъществявайки достъп до ресурси, сякаш са легитимен потребител. Това ниво на контрол позволява на участниците в заплахата да извършват широк спектър от злонамерени дейности, включително кражба на данни, инсталиране на допълнителен зловреден софтуер и провеждане на шпионски кампании. Възможността за дистанционно управление на устройството на жертвата подчертава значителната заплаха, представлявана от LOBSHOT.
Пълен графичен потребителски интерфейс (GUI)
Злонамереният софтуер също има възможност за достъп до пълния графичен потребителски интерфейс (GUI) на целевото устройство, което означава, че атакуващият може визуално да взаимодейства с работната среда на устройството. Тази функция добавя още едно ниво на ефективност и контрол към злонамерения софтуер, като улеснява навигацията и манипулирането на компрометираното устройство за заплахата. Достъпът до пълния графичен потребителски интерфейс позволява на атакуващия да наблюдава потребителските дейности, да има достъп до чувствителна информация и да извършва действия, приписвани на легитимния потребител, като допълнително подчертава пагубността на LOBSHOT.
Смекчаване и опасения
Зловреден софтуер LOBSHOT представлява значителна загриженост както за отделните потребители, така и за организациите, поради своите скрити VNC възможности и връзката с финансово мотивирани заплахи като TA505. Смекчаването и справянето с тези опасения включва разбиране на потенциалните рискове и прилагане на подходящи защитни мерки, както и призоваване за по-строги разпоредби за платформи като Google Ads.
Кражба на банкова и финансова информация
Едно от основните опасения около LOBSHOT е потенциалът му да открадне банкова и финансова информация от заразени устройства. Неговият скрит достъп до VNC позволява на нападателите да проникват в устройства незабелязани, да наблюдават потребителските дейности и да улавят чувствителни данни като идентификационни данни за вход, номера на акаунти и подробности за транзакциите. Такава информация може да бъде използвана за икономическа изгода или използвана в допълнителни атаки, като пълнене на идентификационни данни или фишинг кампании.
Призовава за по-стриктно регулиране на рекламите в Google
В отговор на нарастващата заплаха от разпространение на зловреден софтуер чрез Google Ads, няколко изследователи и професионалисти по сигурността призоваха Alphabet, холдинговата компания на Google, да наложи по-строги регулации върху одобрението на реклами. Внедряването на по-стабилни процеси за скрининг на реклами и механизми за проверка може да помогне за минимизиране на разпространението на зловреден софтуер като LOBSHOT и да намали риска нищо неподозиращите потребители да станат жертва на подобни заплахи. Междувременно крайните потребители трябва да вземат предпазни мерки, като проверят легитимността на домейна, който посещават, и софтуера, който изтеглят.