Programari maliciós LOBSHOT descobert mitjançant la investigació de malvertising
Els investigadors d'Elastic Security Labs han descobert recentment un nou programari maliciós anomenat LOBSHOT durant la seva investigació exhaustiva sobre un augment de les campanyes de publicitat malintencionada. LOBSHOT té un interès particular perquè concedeix als actors d'amenaça accés VNC (Virtual Network Computing) ocult als dispositius infectats. Els investigadors també van trobar connexions entre el programari maliciós i TA505, un grup cibercriminal motivat econòmicament conegut per desplegar diversos ransomware i troians bancaris .
Taula de continguts
Augment de les campanyes de publicitat malintencionada
Les campanyes de publicitat malintencionada han anat creixent en nombre i el seu caràcter sigil·los fa que sigui difícil que els usuaris diferenciïn entre anuncis legítims i maliciosos. Els investigadors de seguretat han observat que aquest augment es pot atribuir als actors d'amenaces que venen publicitat maliciosa com a servei, cosa que destaca encara més la importància d'estar atents quan interactuem amb anuncis en línia.
Al llarg de la seva investigació, Elastic Security Labs va observar un augment destacat en les campanyes de publicitat malintencionada que utilitzaven kits d'explotació per orientar vulnerabilitats específiques en aplicacions àmpliament utilitzades. Aquestes campanyes s'han observat cada cop més a diversos llocs web populars, exposant milions d'usuaris a potencials amenaces. Normalment, els visitants d'aquests llocs web es troben amb anuncis maliciosos que, quan es fan clic, redirigeixen a una pàgina de destinació del kit d'explotació on LOBSHOT s'executa finalment al dispositiu de l'usuari.
TA505 Infraestructura
TA505 , el grup cibercriminal sospitós d'estar darrere del desenvolupament i el desplegament de LOBSHOT, fa temps que és reconegut per les seves activitats malicioses amplies. Aquest grup és conegut per la seva gamma ben organitzada i diversa de campanyes d'atac, centrant-se específicament en les institucions financeres com a objectius principals, però també ampliant les seves activitats malicioses a altres indústries.
Després de l'anàlisi de LOBSHOT, Elastic Security Labs va trobar superposicions clares entre la infraestructura del programari maliciós i la infraestructura TA505 prèviament identificada. La similitud en les metodologies d'atac i la infraestructura superposada dóna credibilitat a la hipòtesi que TA505 és responsable del desenvolupament i l'ús actiu de LOBSHOT.
Accés VNC ocult
Un dels aspectes més preocupants de LOBSHOT és la seva capacitat per concedir als actors d'amenaça accés ocult als dispositius de les víctimes mitjançant VNC. Aquesta característica específica permet als atacants obtenir accés remot a un dispositiu infectat sense el consentiment de l'usuari, donant-los la possibilitat de supervisar, manipular i exfiltrar dades sensibles sense que l'usuari ho sap. L'accés VNC ocult fa que LOBSHOT sigui una eina potent i perillosa a l'arsenal dels ciberdelinqüents, especialment aquells amb motivacions financeres.
Mètode de distribució
S'ha observat que el mètode de distribució del programari maliciós LOBSHOT implica tàctiques enganyoses, aprofitant Google Ads i llocs web falsos per atraure víctimes desprevinguts. Aquestes tècniques demostren encara més la sofisticació i l'adaptabilitat dels actors de l'amenaça que hi ha darrere d'aquest programari maliciós, cosa que fa que sigui encara més important que els usuaris finals siguin prudents quan naveguen i facin clic als anuncis.
Llocs web falsos mitjançant Google Ads
Una de les principals maneres en què es distribueix LOBSHOT és mitjançant l'ús de llocs web falsos promocionats mitjançant Google Ads. Els actors de l'amenaça creen i mantenen aquests llocs web falsificats, que estan dissenyats per imitar llocs web i serveis legítims. Mitjançant l'explotació de la plataforma Google Ads, els adversaris poden mostrar els seus anuncis maliciosos a usuaris desprevinguts que poden fer clic als anuncis amb la impressió que són genuïns, cosa que condueix a la instal·lació del programari maliciós LOBSHOT als seus dispositius.
Redirecció d'usuaris a un domini d'AnyDesk fals
A part d'utilitzar llocs web falsos, el procés de distribució del programari maliciós LOBSHOT també implica redirigir els usuaris a un domini AnyDesk fals. AnyDesk és una popular aplicació d'escriptori remota en la qual depenen moltes empreses i persones per a l'accés i el suport remots. Els actors de l'amenaça s'han aprofitat d'aquesta confiança creant un domini AnyDesk fictici per enganyar els usuaris perquè baixin una versió maliciosa del programari, que en realitat és programari maliciós LOBSHOT. Aquest mètode destaca encara més les tàctiques astutes que fan servir aquests ciberdelinqüents per atrapar les víctimes i executar les seves activitats malicioses.
Instal·lació mitjançant sistema compromès
En alguns casos, el programari maliciós LOBSHOT es pot instal·lar al dispositiu de la víctima mitjançant un sistema compromès. Això pot passar si l'usuari visita o descarrega sense saber-ho contingut d'un lloc web que ha estat infectat pel programari maliciós o si s'ha convertit en l'objectiu d'una campanya de pesca. Un cop el programari maliciós s'ha infiltrat amb èxit al dispositiu de la víctima, pot concedir accés VNC ocult a l'actor de l'amenaça, que després pot controlar i manipular el sistema de forma remota segons ho desitgi.
Capacitats de LOBSHOT
El programari maliciós LOBSHOT compta amb una sèrie de capacitats formidables que el fan capaç d'infiltrar-se i explotar els dispositius dels usuaris. El programari maliciós se centra principalment en la informàtica de xarxa virtual oculta (hVNC), permetent als atacants controlar de manera remota els dispositius infectats i accedir a la seva interfície d'usuari. Les capacitats bàsiques de LOBSHOT inclouen:
Informàtica de xarxa virtual oculta (hVNC)
El nucli de la funcionalitat de LOBSHOT és la seva capacitat de proporcionar accés VNC ocult als dispositius víctimes. Mitjançant hVNC, els atacants reben un mètode encobert per controlar remotament un dispositiu sense el consentiment o el coneixement de la víctima. La funció hVNC fa que LOBSHOT sigui especialment perillós, ja que permet als mals actors mantenir una presència sigilosa en dispositius compromesos mentre duen a terme diverses activitats nefastes.
Control remot del dispositiu
Les capacitats hVNC de LOBSHOT permeten als atacants prendre el control total dels dispositius infectats, executar ordres, fer canvis i accedir als recursos com si fossin l'usuari legítim. Aquest nivell de control permet als actors de l'amenaça dur a terme una àmplia gamma d'activitats malicioses, com ara l'exfiltració de dades, la instal·lació de programari maliciós addicional i la realització de campanyes d'espionatge. La capacitat de controlar de forma remota el dispositiu d'una víctima subratlla l'amenaça important que suposa LOBSHOT.
Interfície d'usuari gràfica completa (GUI)
El programari maliciós també té la capacitat d'accedir a la interfície gràfica d'usuari (GUI) completa del dispositiu objectiu, el que significa que l'atacant pot interactuar visualment amb l'entorn d'escriptori del dispositiu. Aquesta característica afegeix una altra capa d'eficiència i control al programari maliciós al facilitar que l'actor de l'amenaça navegui i manipuli el dispositiu compromès. L'accés a la GUI completa permet a l'atacant supervisar les activitats de l'usuari, accedir a informació sensible i realitzar accions atribuïdes a l'usuari legítim, emfatitzant encara més la perniciositat de LOBSHOT.
Mitigació i preocupacions
El programari maliciós LOBSHOT presenta preocupacions importants tant per als usuaris individuals com per a les organitzacions, a causa de les seves capacitats VNC ocultes i de l'associació amb actors d'amenaça motivats econòmicament, com ara TA505. La mitigació i el tractament d'aquestes preocupacions impliquen comprendre els riscos potencials i implementar mesures defensives adequades, així com demanar regulacions més estrictes a plataformes com Google Ads.
Robatori d'informació bancària i financera
Una de les principals preocupacions que envolten LOBSHOT és el seu potencial per robar informació bancària i financera dels dispositius infectats. El seu accés VNC ocult permet als atacants infiltrar-se en dispositius sense ser detectats, controlar les activitats dels usuaris i capturar dades sensibles, com ara credencials d'inici de sessió, números de compte i detalls de transaccions. Aquesta informació es pot aprofitar per obtenir beneficis econòmics o utilitzar-se en atacs posteriors, com ara l'emplenament de credencials o campanyes de pesca.
Demana una regulació més estricta dels anuncis a Google
En resposta a l'amenaça creixent de la distribució de programari maliciós a través de Google Ads, diversos investigadors i professionals de la seguretat han demanat que Alphabet, el holding de Google, imposa regulacions més estrictes sobre l'aprovació dels anuncis. La implementació de processos de selecció d'anuncis i mecanismes de verificació més sòlids pot ajudar a minimitzar la propagació de programari maliciós com LOBSHOT i reduir el risc que usuaris desprevinguts siguin víctimes d'aquestes amenaces. Mentrestant, els usuaris finals haurien de prendre precaucions verificant la legitimitat del domini que visiten i del programari que descarreguen.