LOBSHOT Malware
En ny malwaretrussel kaldet LOBSHOT har vist sig at blive distribueret gennem Google Ads og er i stand til at inficere Windows-enheder ved hjælp af hVNC. Malwaren blev observeret af cybersikkerhedsforskere, der blev promoveret af annoncer, der ser ud til at være for den legitime AnyDesk-fjernstyringssoftware. De ondsindede annoncer fører dog i stedet brugerne til en falsk hjemmeside. Denne side, 'amydeecke.website', skubber en ondsindet MSI-fil, der til gengæld udfører en PowerShell-kommando. Målet er at downloade en DLL fra download-cdn[.]com, et domæne, der tidligere har været forbundet med de cyberkriminelle aktiviteter i TA505/Clop ransomware-gruppen.
Den downloadede DLL-fil er LOBSHOT-malwaren og gemmes i mappen C:\ProgramData, hvor den udføres af RunDLL32.exe. Ifølge en rapport, som afslørede detaljer om LOBSHOT, har forskerne observeret over 500 unikke LOBSHOT-prøver siden juli 2022. De identificerede prøver er typisk kompileret som 32-bit DLL'er eller 32-bit eksekverbare filer, der spænder mellem 93 KB og 124 KB. Når det er udført på de brudte enheder, kontrollerer LOBSHOT, om Microsoft Defender kører, og afslutter dets eksekvering, hvis det opdages.
Indholdsfortegnelse
Cyberkriminelle udnytter Google Ads til at distribuere malware-trusler
Cybersikkerhedseksperter har observeret en betydelig stigning i brugen af Google-annoncer af trusselsaktører til at sprede malware gennem søgeresultater. De ondsindede reklamekampagner involverede efterligning af forskellige websteder og legitime softwareprodukter, såsom 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus og flere andre applikationer.
På trods af indtrykket af legitimitet givet af annoncerne, er de websteder, de omdirigerer til, faktisk designet til at sprede malware, herunder Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT og Royal Ransomware i stedet for at levere ægte applikationer.
LOBSHOT-malwaren er rettet mod kryptovalutaudvidelser og tegnebøger
Hvis LOBSHOT ikke finder tegn på Microsoft Defenders tilstedeværelse, vil den fortsætte med sin truende programmering. Truslen vil automatisk konfigurere registreringsdatabaseposter for at sikre dens start ved hver Windows-opstart. LOBSHOT vil derefter indsamle og begynde at sende systemoplysninger, inklusive alle kørende processer, fra den inficerede enhed. Derudover leder malwaren efter tilstedeværelsen af 32 Chrome cryptocurrency wallet extensions, ni Edge wallet extensions og 11 Firefox wallet extensions.
Efter at have fundet disse udvidelser, udfører malwaren en fil i mappen C:\ProgramData. Forskere er dog usikre på, om formålet med filen er at udtrække filtypedata eller en anden skadelig handling.
Selvom indsamling af cryptocurrency-udvidelser er et fælles mål for malware, har LOBSHOT malware også et hVNC-modul indbygget i sin struktur. Dette modul gør det muligt for trusselsaktører at få fjernadgang til en inficeret enhed diskret.
LOBSHOT-malwaren giver fjernadgang til de overtrådte enheder
Muligheden for at fjernstyre en Windows-stationær computer uden ofrets viden er muliggjort af hVNC-modulet (hidden virtual network computing).
Malwaren kendt som LOBSHOT inkluderer et hVNC-modul, som gør det muligt for trusselsaktører at manipulere det skjulte skrivebord, som om de var fysisk til stede foran det, ved hjælp af deres tastatur og mus.
Når modulet er aktiveret, begynder ofrets maskine at transmittere skærmbilleder af det skjulte skrivebord til en lyttende klient styret af angriberen. Angriberen kan interagere med klienten ved at manipulere tastaturet, klikke på knapper og flytte musen, hvilket giver dem fuldstændig fjernbetjening af enheden.
Med fuld adgang givet af hVNC kan trusselsaktørerne udføre forskellige aktiviteter, såsom at udføre kommandoer, stjæle data og implementere yderligere malware-nyttelast.
