LOBSHOT Malware
Bylo zjištěno, že nová malwarová hrozba s názvem LOBSHOT je distribuována prostřednictvím Google Ads a je schopna infikovat zařízení se systémem Windows pomocí hVNC. Malware byl pozorován výzkumníky v oblasti kybernetické bezpečnosti, který byl propagován reklamami, které vypadaly jako na legitimní software pro vzdálenou správu AnyDesk. Škodlivé reklamy však místo toho vedou uživatele na falešné webové stránky. Tato stránka „amydeecke.website“ posílá škodlivý soubor MSI, který zase provádí příkaz PowerShell. Cílem je stáhnout DLL z download-cdn[.]com, domény, která byla dříve spojována s kyberzločineckými aktivitami skupiny ransomwaru TA505/Clop.
Stažený soubor DLL je malware LOBSHOT a je uložen ve složce C:\ProgramData, kde je spuštěn RunDLL32.exe. Podle zprávy, která odhalila podrobnosti o LOBSHOT, výzkumníci od července 2022 pozorovali více než 500 jedinečných vzorků LOBSHOT. Identifikované vzorky jsou obvykle sestaveny jako 32bitové DLL nebo 32bitové spustitelné soubory v rozmezí od 93 KB do 124 KB. Po spuštění na narušených zařízeních LOBSHOT zkontroluje, zda je spuštěn Microsoft Defender, a v případě zjištění jeho spuštění ukončí.
Obsah
Kyberzločinci využívají Google Ads k šíření malwarových hrozeb
Odborníci na kybernetickou bezpečnost zaznamenali značný nárůst ve využívání reklam Google aktéry hrozeb k šíření malwaru prostřednictvím výsledků vyhledávání. Škodlivé reklamní kampaně zahrnovaly napodobování různých webových stránek a legitimních softwarových produktů, jako jsou 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus a několik dalších aplikací.
Navzdory dojmu legitimity, který reklamy vyvolávají, jsou webové stránky, na které přesměrovávají, ve skutečnosti navrženy tak, aby šířily malware, včetně Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT a Royal Ransomware namísto poskytování originálních aplikací.
Malware LOBSHOT se zaměřuje na rozšíření a peněženky pro kryptoměny
Pokud LOBSHOT nenajde známky přítomnosti Microsoft Defenderu, bude pokračovat ve svém hrozivém programování. Hrozba automaticky nakonfiguruje položky registru, aby zajistila její spuštění při každém spuštění systému Windows. LOBSHOT poté shromáždí a začne přenášet systémové informace, včetně všech běžících procesů, z infikovaného zařízení. Malware navíc hledá přítomnost 32 rozšíření peněženky pro kryptoměny Chrome, devět rozšíření peněženky Edge a 11 rozšíření peněženky Firefox.
Po zjištění těchto rozšíření malware spustí soubor ve složce C:\ProgramData. Vědci si však nejsou jisti, zda je účelem souboru extrahovat data rozšíření nebo nějaká jiná škodlivá akce.
Přestože je shromažďování rozšíření o kryptoměny běžným cílem malwaru, malware LOBSHOT má do své struktury začleněn také modul hVNC. Tento modul umožňuje aktérům hrozeb přistupovat k infikovanému zařízení vzdáleně diskrétně.
Malware LOBSHOT poskytuje vzdálený přístup k narušeným zařízením
Možnost vzdáleného ovládání stolního počítače s Windows bez vědomí oběti umožňuje modul hVNC (skryté virtuální sítě).
Malware známý jako LOBSHOT obsahuje modul hVNC, který umožňuje aktérům hrozeb manipulovat se skrytou plochou, jako by se před ní fyzicky nacházeli, pomocí klávesnice a myši.
Jakmile je modul aktivován, počítač oběti začne vysílat snímky obrazovky skryté plochy naslouchajícímu klientovi ovládanému útočníkem. Útočník může interagovat s klientem manipulací s klávesnicí, klikáním na tlačítka a pohybem myši, což mu dává úplné dálkové ovládání zařízení.
S plným přístupem uděleným hVNC mohou aktéři hrozeb provádět různé činnosti, jako je provádění příkazů, krást data a nasazovat další užitečné zatížení malwaru.
