LOBSHOT Malware opdaget via Malvertising Investigation
Elastic Security Labs-forskere har for nylig opdaget en ny malware kaldet LOBSHOT under deres grundige undersøgelse af en stigning i malvertising-kampagner. LOBSHOT er af særlig interesse, fordi det giver trusselsaktører skjult VNC (Virtual Network Computing) adgang til inficerede enheder. Forskerne fandt også forbindelser mellem malwaren og TA505, en økonomisk motiveret cyberkriminel gruppe kendt for at implementere forskellige ransomware og banktrojanske heste .
Indholdsfortegnelse
Pige i Malvertising-kampagner
Malvertising-kampagner er vokset i antal, og deres snigende karakter gør det svært for brugerne at skelne mellem lovlige og ondsindede annoncer. Sikkerhedsforskere har observeret, at denne stigning kan tilskrives trusselsaktører, der sælger malvertising-as-a-service, hvilket yderligere understreger vigtigheden af at være årvågen, når de interagerer med onlineannoncer.
Gennem deres forskning observerede Elastic Security Labs en fremtrædende stigning i malvertising-kampagner, der bruger udnyttelsessæt til at målrette mod specifikke sårbarheder i udbredte applikationer. Disse kampagner er blevet observeret i stigende grad på adskillige populære websteder, og udsætter millioner af brugere for potentielle trusler. Typisk støder besøgende på disse websteder på fejlannonceringer, der, når de klikkes, omdirigerer til en landingsside for udnyttelseskit, hvor LOBSHOT til sidst udføres på brugerens enhed.
TA505 Infrastruktur
TA505 , den cyberkriminelle gruppe, der mistænkes for at stå bag udviklingen og implementeringen af LOBSHOT, har længe været anerkendt for sine omfattende ondsindede aktiviteter. Denne gruppe er kendt for sin velorganiserede og mangfoldige række af angrebskampagner, der specifikt fokuserer på finansielle institutioner som deres primære mål, men også udvider deres ondsindede aktiviteter til andre industrier.
Efter analysen af LOBSHOT fandt Elastic Security Labs klare overlapninger mellem malwarens infrastruktur og tidligere identificeret TA505-infrastruktur. Ligheden i angrebsmetoder og overlappende infrastruktur giver troværdighed til hypotesen om, at TA505 er ansvarlig for udviklingen og den aktive brug af LOBSHOT.
Skjult VNC-adgang
Et af de mest bekymrende aspekter ved LOBSHOT er dets evne til at give trusselsaktører skjult adgang til ofrenes enheder gennem VNC. Denne specifikke funktion gør det muligt for angribere at få fjernadgang til en inficeret enhed, mens de omgår brugerens samtykke, hvilket giver dem mulighed for at overvåge, manipulere og eksfiltrere følsomme data uden brugerens viden. Den skjulte VNC-adgang gør LOBSHOT til et stærkt og farligt værktøj i arsenalet af cyberkriminelle, især dem med økonomiske motiver.
Distributionsmetode
Distributionsmetoden for LOBSHOT malware er blevet observeret at involvere vildledende taktik, udnyttelse af Google Ads og falske websteder til at lokke intetanende ofre. Disse teknikker demonstrerer yderligere sofistikeringen og tilpasningsevnen hos trusselsaktørerne bag denne malware, hvilket gør det endnu mere vigtigt for slutbrugere at være forsigtige, når de gennemser og klikker på annoncer.
Falske websteder via Google Ads
En af de primære måder, hvorpå LOBSHOT bliver distribueret, er gennem brugen af falske websteder, der promoveres via Google Ads. Trusselsaktørerne skaber og vedligeholder disse forfalskede websteder, som er designet til at efterligne legitime websteder og tjenester. Ved at udnytte Google Ads-platformen kan modstanderne vise deres ondsindede annoncer til intetanende brugere, som kan klikke på annoncerne under indtryk af, at de er ægte, hvilket fører til installation af LOBSHOT-malwaren på deres enheder.
Omdirigerer brugere til falsk AnyDesk-domæne
Ud over at bruge falske websteder involverer distributionsprocessen for LOBSHOT malware også omdirigering af brugere til et forfalsket AnyDesk-domæne. AnyDesk er en populær fjernskrivebordsapplikation, som mange virksomheder og enkeltpersoner er afhængige af for fjernadgang og support. Trusselsaktørerne har udnyttet denne tillid ved at oprette et fiktivt AnyDesk-domæne for at narre brugere til at downloade en ondsindet version af softwaren, som faktisk er LOBSHOT malware. Denne metode fremhæver yderligere den snedige taktik, som disse cyberkriminelle bruger til at fange ofre og udføre deres ondsindede aktiviteter.
Installation gennem kompromitteret system
I nogle tilfælde kan LOBSHOT-malwaren installeres på et offers enhed gennem et kompromitteret system. Dette kan forekomme, hvis brugeren ubevidst besøger eller downloader indhold fra et websted, der er blevet inficeret med malware, eller hvis de er blevet et mål for en spyd-phishing-kampagne. Når først malwaren har infiltreret offerets enhed, kan den give skjult VNC-adgang til trusselsaktøren, som derefter kan fjernstyre og manipulere systemet som ønsket.
LOBSHOTs evner
LOBSHOT malware kan prale af en række formidable egenskaber, der gør den dygtig til at infiltrere og udnytte brugerens enheder. Malwaren fokuserer primært på skjult Virtual Network Computing (hVNC), hvilket giver angriberne mulighed for at fjernstyre inficerede enheder og få adgang til deres brugergrænseflade. Kerneegenskaberne i LOBSHOT inkluderer:
Hidden Virtual Network Computing (hVNC)
Kernen i LOBSHOTs funktionalitet er dens evne til at give skjult VNC-adgang til ofrets enheder. Gennem hVNC får angribere en skjult metode til at fjernstyre en enhed uden samtykke eller viden fra offeret. hVNC-funktionen gør LOBSHOT særligt farlig, da den giver dårlige skuespillere mulighed for at opretholde en snigende tilstedeværelse på kompromitterede enheder, mens de udfører forskellige uhyggelige aktiviteter.
Fjernbetjening af enheden
LOBSHOTs hVNC-funktioner gør det muligt for angribere at tage fuld kontrol over inficerede enheder, udføre kommandoer, foretage ændringer og få adgang til ressourcer, som om de var den legitime bruger. Dette kontrolniveau giver trusselsaktørerne mulighed for at udføre en bred vifte af ondsindede aktiviteter, herunder dataeksfiltrering, installation af yderligere malware og udførelse af spionagekampagner. Evnen til at fjernstyre et offers enhed understreger den betydelige trussel, som LOBSHOT udgør.
Fuld grafisk brugergrænseflade (GUI)
Malwaren har også mulighed for at få adgang til den fulde grafiske brugergrænseflade (GUI) på målenheden, hvilket betyder, at angriberen visuelt kan interagere med enhedens skrivebordsmiljø. Denne funktion tilføjer endnu et lag af effektivitet og kontrol til malwaren ved at gøre det lettere for trusselsaktøren at navigere og manipulere den kompromitterede enhed. Adgangen til den fulde GUI gør det muligt for angriberen at overvåge brugeraktiviteter, få adgang til følsom information og udføre handlinger, der tilskrives den legitime bruger, hvilket yderligere understreger LOBSHOT's skadelighed.
Afhjælpning og bekymringer
LOBSHOT malware udgør betydelige bekymringer for både individuelle brugere og organisationer på grund af dens skjulte VNC-kapaciteter og tilknytning til økonomisk motiverede trusselsaktører såsom TA505. Afbødning og afhjælpning af disse bekymringer involverer forståelse af de potentielle risici og implementering af passende defensive foranstaltninger samt opfordring til strengere reguleringer på platforme såsom Google Ads.
Stjæle bank- og finansoplysninger
En af de primære bekymringer omkring LOBSHOT er dets potentiale til at stjæle bank- og finansoplysninger fra inficerede enheder. Dens skjulte VNC-adgang giver angribere mulighed for at infiltrere enheder uopdaget, overvåge brugeraktiviteter og fange følsomme data såsom login-legitimationsoplysninger, kontonumre og transaktionsdetaljer. Sådanne oplysninger kan udnyttes til økonomisk vinding eller bruges i yderligere angreb, såsom credential stuffing eller phishing-kampagner.
Opfordrer til skærpet annonceregulering på Google
Som reaktion på den voksende trussel om malware-distribution gennem Google Ads har adskillige forskere og sikkerhedseksperter opfordret Alphabet, Googles holdingselskab, til at indføre strengere regler for godkendelse af annoncer. Implementering af mere robuste annoncescreeningsprocesser og verifikationsmekanismer kan hjælpe med at minimere spredningen af malware som LOBSHOT og reducere risikoen for, at intetanende brugere bliver ofre for sådanne trusler. I mellemtiden bør slutbrugere tage forholdsregler ved at verificere legitimiteten af det domæne, de besøger, og den software, de downloader.