Programari maliciós LOBSHOT
S'ha trobat que una nova amenaça de programari maliciós anomenada LOBSHOT es distribueix a través de Google Ads i és capaç d'infectar dispositius Windows mitjançant hVNC. Els investigadors de ciberseguretat van observar que el programari maliciós va ser promogut per anuncis que semblaven per al programari legítim de gestió remota AnyDesk. Tanmateix, els anuncis maliciosos condueixen els usuaris a un lloc web fals. Aquesta pàgina, 'amydeecke.website', impulsa un fitxer MSI maliciós que, al seu torn, executa una ordre de PowerShell. L'objectiu és descarregar una DLL de download-cdn[.]com, un domini que s'ha associat prèviament amb les activitats cibercriminals del grup de ransomware TA505/Clop.
El fitxer DLL descarregat és el programari maliciós LOBSHOT i es desa a la carpeta C:\ProgramData, on l'executa RunDLL32.exe. Segons un informe, que va revelar detalls sobre LOBSHOT, els investigadors han observat més de 500 mostres úniques de LOBSHOT des del juliol de 2022. Les mostres identificades normalment es compilen com a DLL de 32 bits o executables de 32 bits que oscil·len entre 93 KB i 124 KB. Un cop executat als dispositius violats, LOBSHOT comprova si Microsoft Defender s'està executant i finalitza la seva execució si es detecta.
Taula de continguts
Els ciberdelinqüents exploten els anuncis de Google per distribuir amenaces de programari maliciós
Els experts en ciberseguretat han observat un augment substancial en l'ús dels anuncis de Google per part dels actors d'amenaces per difondre programari maliciós a través dels resultats de la cerca. Les campanyes de publicitat maliciosa van implicar la imitació de diversos llocs web i productes de programari legítims, com ara 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus i diverses altres aplicacions.
Malgrat la impressió de legitimitat que donen els anuncis, els llocs web als quals redirigeixen en realitat estan dissenyats per difondre programari maliciós, com ara Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT i Royal Ransomware en lloc de proporcionar aplicacions genuïnes.
El programari maliciós LOBSHOT s'adreça a les extensions i carteres de criptomoneda
Si LOBSHOT no troba indicis de la presència de Microsoft Defender, procedirà amb la seva programació amenaçadora. L'amenaça configurarà automàticament les entrades del Registre per assegurar-ne l'inici a cada arrencada de Windows. LOBSHOT recopilarà i començarà a transmetre informació del sistema, inclosos tots els processos en execució, des del dispositiu infectat. A més, el programari maliciós busca la presència de 32 extensions de cartera de criptomoneda de Chrome, nou extensions de cartera Edge i 11 extensions de cartera de Firefox.
En detectar aquestes extensions, el programari maliciós executa un fitxer a la carpeta C:\ProgramData. Tanmateix, els investigadors no saben si el propòsit del fitxer és extreure dades d'extensió o alguna altra acció perjudicial.
Tot i que recollir extensions de criptomoneda és un objectiu comú per al programari maliciós, el programari maliciós LOBSHOT també té un mòdul hVNC incorporat a la seva estructura. Aquest mòdul permet als actors de les amenaces accedir a un dispositiu infectat de forma remota i discreta.
El programari maliciós LOBSHOT proporciona accés remot als dispositius violats
La capacitat de controlar remotament un ordinador d'escriptori Windows sense el coneixement de la víctima és possible gràcies al mòdul hVNC (informàtica en xarxa virtual oculta).
El programari maliciós conegut com LOBSHOT inclou un mòdul hVNC, que permet als actors de l'amenaça manipular l'escriptori ocult com si estiguessin físicament presents davant d'ell, utilitzant el teclat i el ratolí.
Un cop activat el mòdul, la màquina de la víctima comença a transmetre captures de pantalla de l'escriptori ocult a un client que escolta controlat per l'atacant. L'atacant pot interactuar amb el client manipulant el teclat, fent clic als botons i movent el ratolí, donant-li un control remot complet del dispositiu.
Amb l'accés total concedit per hVNC, els actors de l'amenaça poden dur a terme diverses activitats, com ara executar ordres, robar dades i desplegar càrregues útils de programari maliciós addicionals.
