LOBSHOT Зловреден софтуер
Установено е, че нова заплаха от злонамерен софтуер, наречена LOBSHOT, се разпространява чрез Google Ads и е в състояние да зарази устройства с Windows, използващи hVNC. Злонамереният софтуер е наблюдаван от изследователи по киберсигурност, популяризиран от реклами, които изглеждат като за законния софтуер за дистанционно управление AnyDesk. Вместо това обаче злонамерените реклами водят потребителите до фалшив уебсайт. Тази страница, „amydeecke.website“, изпраща злонамерен MSI файл, който на свой ред изпълнява команда на PowerShell. Целта е да се изтегли DLL от download-cdn[.]com, домейн, който преди това е бил свързван с киберпрестъпните дейности на групата ransomware TA505/Clop.
Изтегленият DLL файл е злонамереният софтуер LOBSHOT и се записва в папката C:\ProgramData, където се изпълнява от RunDLL32.exe. Според доклад, който разкрива подробности за LOBSHOT, изследователите са наблюдавали над 500 уникални проби от LOBSHOT от юли 2022 г. Идентифицираните проби обикновено са компилирани като 32-битови DLL или 32-битови изпълними файлове, вариращи между 93 KB до 124 KB. След като бъде изпълнен на пробитите устройства, LOBSHOT проверява дали Microsoft Defender работи и прекратява изпълнението си, ако бъде открит.
Съдържание
Киберпрестъпниците експлоатират Google Ads за разпространение на заплахи от зловреден софтуер
Експертите по киберсигурност наблюдават значителен скок в използването на реклами от Google от заплахи за разпространение на зловреден софтуер чрез резултатите от търсенето. Злонамерените рекламни кампании включват имитация на различни уебсайтове и легитимни софтуерни продукти, като 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus и няколко други приложения.
Въпреки впечатлението за легитимност, създадено от рекламите, уебсайтовете, към които те пренасочват, всъщност са предназначени да разпространяват зловреден софтуер, включително Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT и Royal Ransomware , вместо да предоставят истински приложения.
Зловреден софтуер LOBSHOT е насочен към разширения и портфейли за криптовалута
Ако LOBSHOT не открие признаци за присъствие на Microsoft Defender, той ще продължи със своето заплашително програмиране. Заплахата автоматично ще конфигурира записи в регистъра, за да гарантира стартирането му при всяко зареждане на Windows. След това LOBSHOT ще събере и започне да предава системна информация, включително всички работещи процеси, от заразеното устройство. Освен това злонамереният софтуер търси наличието на 32 разширения за портфейл за криптовалута на Chrome, девет разширения за портфейл на Edge и 11 разширения на портфейл на Firefox.
При откриване на тези разширения зловредният софтуер изпълнява файл в папката C:\ProgramData. Изследователите обаче не са сигурни дали целта на файла е да извлича разширение на данни или някакво друго вредно действие.
Въпреки че събирането на разширения за криптовалута е обща цел за злонамерен софтуер, злонамереният софтуер LOBSHOT също има hVNC модул, включен в неговата структура. Този модул позволява на участниците в заплахата да имат дистанционен достъп до заразено устройство дискретно.
Зловреден софтуер LOBSHOT осигурява отдалечен достъп до пробитите устройства
Възможността за дистанционно управление на настолен компютър с Windows без знанието на жертвата е възможна благодарение на модула hVNC (скрита виртуална мрежа).
Зловреден софтуер, известен като LOBSHOT, включва hVNC модул, който позволява на участниците в заплахата да манипулират скрития работен плот, сякаш физически присъстват пред него, използвайки клавиатурата и мишката си.
След като модулът е активиран, машината на жертвата започва да предава екранни снимки на скрития работен плот към слушащ клиент, контролиран от нападателя. Нападателят може да взаимодейства с клиента чрез манипулиране на клавиатурата, щракане на бутони и преместване на мишката, което му дава пълен дистанционен контрол на устройството.
С пълен достъп, предоставен от hVNC, участниците в заплахата могат да извършват различни дейности, като например изпълнение на команди, кражба на данни и внедряване на допълнителен зловреден софтуер.
