LOBSHOT Malware objeven prostřednictvím vyšetřování malvertisingu
Výzkumníci Elastic Security Labs nedávno objevili nový malware nazvaný LOBSHOT během důkladného vyšetřování nárůstu malvertisingových kampaní. LOBSHOT je zvláště zajímavý, protože poskytuje aktérům hrozeb skrytý VNC (Virtual Network Computing) přístup k infikovaným zařízením. Výzkumníci také našli spojení mezi malwarem a TA505, finančně motivovanou kyberzločineckou skupinou známou nasazením různého ransomwaru a bankovních trojských koní .
Obsah
Špička v malvertisingových kampaních
Počet malwarových kampaní roste a jejich kradmý charakter ztěžuje uživatelům rozlišování mezi legitimními a škodlivými reklamami. Bezpečnostní výzkumníci pozorovali, že tento nárůst lze přičíst aktérům hrozeb prodávajícím malvertising-as-a-service, což dále zdůrazňuje důležitost ostražitosti při interakci s online reklamami.
Během svého výzkumu Elastic Security Labs zaznamenaly výrazný nárůst malvertisingových kampaní využívajících exploit kity k zacílení na konkrétní zranitelnosti v široce používaných aplikacích. Tyto kampaně byly stále častěji pozorovány na několika populárních webových stránkách a vystavovaly miliony uživatelů potenciálním hrozbám. Návštěvníci těchto webových stránek se obvykle setkávají se škodlivými reklamami, které po kliknutí přesměrují na vstupní stránku exploit kit, kde se LOBSHOT nakonec spustí na zařízení uživatele.
Infrastruktura TA505
TA505 , kyberzločinecká skupina podezřelá z toho, že stojí za vývojem a nasazením LOBSHOT, je již dlouho uznávána pro své rozsáhlé škodlivé aktivity. Tato skupina je známá svými dobře organizovanými a rozmanitými útočnými kampaněmi, které se konkrétně zaměřují na finanční instituce jako jejich primární cíle, ale také rozšiřují své škodlivé aktivity do dalších odvětví.
Po analýze LOBSHOT zjistily Elastic Security Labs jasné překrývání mezi infrastrukturou malwaru a dříve identifikovanou infrastrukturou TA505. Podobnost v metodologii útoku a překrývající se infrastruktuře dává důvěryhodnost hypotéze, že TA505 je odpovědná za vývoj a aktivní používání LOBSHOT.
Skrytý přístup VNC
Jedním z nejvíce znepokojivých aspektů LOBSHOT je jeho schopnost udělit aktérům hrozby skrytý přístup k zařízením obětí prostřednictvím VNC. Tato specifická funkce umožňuje útočníkům získat vzdálený přístup k infikovanému zařízení a zároveň obejít souhlas uživatele, což jim poskytuje možnost sledovat, manipulovat a exfiltrovat citlivá data bez vědomí uživatele. Skrytý přístup VNC dělá z LOBSHOT mocný a nebezpečný nástroj v arzenálu kyberzločinců, zejména těch s finanční motivací.
Distribuční metoda
Bylo pozorováno, že metoda distribuce malwaru LOBSHOT zahrnuje klamavé taktiky, využívající Google Ads a falešné webové stránky k nalákání nic netušících obětí. Tyto techniky dále demonstrují sofistikovanost a přizpůsobivost aktérů hrozeb za tímto malwarem, takže je pro koncové uživatele ještě důležitější, aby byli opatrní při procházení reklam a klikání na ně.
Falešné webové stránky prostřednictvím Google Ads
Jedním z hlavních způsobů distribuce LOBSHOT je používání falešných webových stránek propagovaných prostřednictvím Google Ads. Aktéři hrozeb vytvářejí a udržují tyto padělané webové stránky, které jsou navrženy tak, aby napodobovaly legitimní webové stránky a služby. Využitím platformy Google Ads mohou protivníci zobrazovat své škodlivé reklamy nic netušícím uživatelům, kteří mohou kliknout na reklamy pod dojmem, že jsou pravé, což vede k instalaci malwaru LOBSHOT na jejich zařízení.
Přesměrování uživatelů na falešnou doménu AnyDesk
Kromě používání falešných webových stránek zahrnuje proces distribuce malwaru LOBSHOT také přesměrování uživatelů na padělanou doménu AnyDesk. AnyDesk je oblíbená aplikace pro vzdálenou plochu, na kterou mnoho firem a jednotlivců spoléhá při vzdáleném přístupu a podpoře. Aktéři hrozeb využili této důvěry tím, že vytvořili fiktivní doménu AnyDesk, aby přiměli uživatele ke stažení škodlivé verze softwaru, což je ve skutečnosti malware LOBSHOT. Tato metoda dále zdůrazňuje lstivou taktiku, kterou používají tito kyberzločinci k chytání obětí a provádění jejich zákeřných aktivit.
Instalace prostřednictvím kompromitovaného systému
V některých případech může být malware LOBSHOT nainstalován na zařízení oběti prostřednictvím kompromitovaného systému. K tomu může dojít, pokud uživatel nevědomky navštíví nebo stáhne obsah z webové stránky, která byla infikována malwarem, nebo pokud se stal cílem spear-phishingové kampaně. Jakmile malware úspěšně infiltroval zařízení oběti, může udělit skrytý VNC přístup aktérovi hrozby, který pak může na dálku ovládat a manipulovat se systémem podle potřeby.
Schopnosti LOBSHOT
Malware LOBSHOT se může pochlubit řadou úžasných schopností, díky nimž je zběhlý v infiltraci a zneužívání uživatelských zařízení. Malware se zaměřuje především na skryté Virtual Network Computing (hVNC), který útočníkům umožňuje vzdáleně ovládat infikovaná zařízení a přistupovat k jejich uživatelskému rozhraní. Mezi základní schopnosti LOBSHOT patří:
Hidden Virtual Network Computing (hVNC)
Základem funkčnosti LOBSHOT je jeho schopnost poskytovat skrytý VNC přístup k zařízením obětí. Prostřednictvím hVNC je útočníkům poskytnuta skrytá metoda dálkového ovládání zařízení bez souhlasu nebo vědomí oběti. Funkce hVNC činí LOBSHOT obzvláště nebezpečným, protože umožňuje špatným hercům udržovat kradmou přítomnost na kompromitovaných zařízeních při provádění různých hanebných činností.
Dálkové ovládání zařízení
Schopnosti hVNC LOBSHOT umožňují útočníkům převzít plnou kontrolu nad infikovanými zařízeními, spouštět příkazy, provádět změny a přistupovat ke zdrojům, jako by to byli legitimní uživatelé. Tato úroveň kontroly umožňuje aktérům hrozeb provádět širokou škálu škodlivých aktivit, včetně exfiltrace dat, instalace dalšího malwaru a vedení špionážních kampaní. Schopnost vzdáleně ovládat zařízení oběti podtrhuje významnou hrozbu, kterou LOBSHOT představuje.
Plně grafické uživatelské rozhraní (GUI)
Malware má také schopnost přistupovat k úplnému grafickému uživatelskému rozhraní (GUI) cílového zařízení, což znamená, že útočník může vizuálně interagovat s desktopovým prostředím zařízení. Tato funkce přidává malwaru další vrstvu efektivity a kontroly tím, že aktérovi hrozby usnadňuje navigaci a manipulaci s napadeným zařízením. Přístup k úplnému GUI umožňuje útočníkovi monitorovat aktivity uživatelů, přistupovat k citlivým informacím a provádět akce připisované legitimnímu uživateli, což ještě více zdůrazňuje zhoubnost LOBSHOT.
Zmírnění a obavy
Malware LOBSHOT představuje značné obavy jak pro jednotlivé uživatele, tak pro organizace, a to díky svým skrytým schopnostem VNC a spojení s finančně motivovanými aktéry hrozeb, jako je TA505. Zmírnění a řešení těchto obav zahrnuje pochopení potenciálních rizik a implementaci vhodných obranných opatření a také požadavek na přísnější regulace platforem, jako je Google Ads.
Krádež bankovních a finančních informací
Jedním z hlavních problémů souvisejících s LOBSHOT je jeho potenciál ukrást bankovní a finanční informace z infikovaných zařízení. Jeho skrytý přístup VNC umožňuje útočníkům nepozorovaně infiltrovat zařízení, monitorovat aktivity uživatelů a získávat citlivá data, jako jsou přihlašovací údaje, čísla účtů a podrobnosti o transakcích. Takové informace mohou být zneužity k ekonomickému zisku nebo použity v dalších útocích, jako jsou například credential stuffing nebo phishingové kampaně.
Vyzývá k přísnější regulaci reklam na Googlu
V reakci na rostoucí hrozbu šíření malwaru prostřednictvím Google Ads vyzvalo několik výzkumníků a bezpečnostních odborníků, aby Alphabet, holdingová společnost Google, zavedl přísnější předpisy pro schvalování reklam. Implementace robustnějších procesů prověřování reklam a ověřovacích mechanismů může pomoci minimalizovat šíření malwaru, jako je LOBSHOT, a snížit riziko, že se nic netušící uživatelé stanou obětí takových hrozeb. Mezitím by koncoví uživatelé měli učinit preventivní opatření ověřením legitimity domény, kterou navštěvují, a softwaru, který stahují.