Το κακόβουλο λογισμικό LOBSHOT ανακαλύφθηκε μέσω της έρευνας για κακόβουλη διαφήμιση
Οι ερευνητές της Elastic Security Labs ανακάλυψαν πρόσφατα ένα νέο κακόβουλο λογισμικό που ονομάζεται LOBSHOT κατά τη διεξοδική τους έρευνα για την αύξηση των καμπανιών κακόβουλης διαφήμισης. Το LOBSHOT παρουσιάζει ιδιαίτερο ενδιαφέρον επειδή παρέχει στους παράγοντες απειλών κρυφή πρόσβαση VNC (Virtual Network Computing) σε μολυσμένες συσκευές. Οι ερευνητές βρήκαν επίσης συνδέσεις μεταξύ του κακόβουλου λογισμικού και της TA505, μιας κυβερνοεγκληματικής ομάδας με οικονομικά κίνητρα, γνωστή για την ανάπτυξη διαφόρων ransomware και τραπεζικών trojans .
Πίνακας περιεχομένων
Αύξηση στις καμπάνιες κακόβουλης διαφήμισης
Οι καμπάνιες κακόβουλης διαφήμισης αυξάνονται σε αριθμό και η μυστική φύση τους καθιστά δύσκολο για τους χρήστες να κάνουν διάκριση μεταξύ νόμιμων και κακόβουλων διαφημίσεων. Οι ερευνητές ασφάλειας παρατήρησαν ότι αυτή η αύξηση μπορεί να αποδοθεί σε παράγοντες απειλών που πωλούν κακόβουλες διαφημίσεις ως υπηρεσία, υπογραμμίζοντας περαιτέρω τη σημασία της επαγρύπνησης κατά την αλληλεπίδραση με τις διαδικτυακές διαφημίσεις.
Κατά τη διάρκεια της έρευνάς τους, η Elastic Security Labs παρατήρησε μια σημαντική άνοδο στις καμπάνιες κακόβουλης διαφήμισης που χρησιμοποιούν κιτ εκμετάλλευσης για τη στόχευση συγκεκριμένων τρωτών σημείων σε ευρέως χρησιμοποιούμενες εφαρμογές. Αυτές οι καμπάνιες παρατηρούνται όλο και περισσότερο σε αρκετούς δημοφιλείς ιστότοπους, εκθέτοντας εκατομμύρια χρήστες σε πιθανές απειλές. Συνήθως, οι επισκέπτες αυτών των ιστότοπων αντιμετωπίζουν κακόβουλες διαφημίσεις που, όταν κάνουν κλικ, ανακατευθύνονται σε μια σελίδα προορισμού κιτ εκμετάλλευσης όπου το LOBSHOT εκτελείται τελικά στη συσκευή του χρήστη.
TA505 Υποδομή
Η TA505 , η κυβερνοεγκληματική ομάδα που είναι ύποπτη ότι βρίσκεται πίσω από την ανάπτυξη και την ανάπτυξη του LOBSHOT, έχει αναγνωριστεί εδώ και καιρό για τις ευρείας κλίμακας κακόβουλες δραστηριότητές της. Αυτή η ομάδα είναι γνωστή για τις καλά οργανωμένες και ποικίλες εκστρατείες επίθεσης, εστιάζοντας συγκεκριμένα στα χρηματοπιστωτικά ιδρύματα ως κύριους στόχους τους, αλλά και επεκτείνοντας τις κακόβουλες δραστηριότητές τους σε άλλους κλάδους.
Μετά την ανάλυση του LOBSHOT, η Elastic Security Labs εντόπισε σαφείς επικαλύψεις μεταξύ της υποδομής του κακόβουλου λογισμικού και της υποδομής TA505 που προσδιορίστηκε προηγουμένως. Η ομοιότητα στις μεθοδολογίες επίθεσης και στην αλληλοεπικαλυπτόμενη υποδομή δίνει πίστη στην υπόθεση ότι το TA505 είναι υπεύθυνο για την ανάπτυξη και την ενεργή χρήση του LOBSHOT.
Κρυφή πρόσβαση VNC
Μία από τις πιο ανησυχητικές πτυχές του LOBSHOT είναι η ικανότητά του να παρέχει στους παράγοντες απειλών κρυφή πρόσβαση στις συσκευές των θυμάτων μέσω VNC. Αυτή η συγκεκριμένη δυνατότητα επιτρέπει στους εισβολείς να αποκτήσουν απομακρυσμένη πρόσβαση σε μια μολυσμένη συσκευή παρακάμπτοντας τη συναίνεση του χρήστη, παρέχοντάς τους τη δυνατότητα να παρακολουθούν, να χειρίζονται και να διεισδύουν ευαίσθητα δεδομένα χωρίς τη γνώση του χρήστη. Η κρυφή πρόσβαση VNC καθιστά το LOBSHOT ένα ισχυρό και επικίνδυνο εργαλείο στο οπλοστάσιο των εγκληματιών του κυβερνοχώρου, ιδιαίτερα εκείνων με οικονομικά κίνητρα.
Μέθοδος Διανομής
Η μέθοδος διανομής του κακόβουλου λογισμικού LOBSHOT έχει παρατηρηθεί ότι περιλαμβάνει παραπλανητικές τακτικές, αξιοποιώντας το Google Ads και ψεύτικους ιστότοπους για να δελεάσουν ανυποψίαστα θύματα. Αυτές οι τεχνικές καταδεικνύουν περαιτέρω την πολυπλοκότητα και την προσαρμοστικότητα των παραγόντων απειλής πίσω από αυτό το κακόβουλο λογισμικό, καθιστώντας ακόμη πιο κρίσιμο για τους τελικούς χρήστες να είναι προσεκτικοί όταν περιηγούνται και κάνουν κλικ σε διαφημίσεις.
Ψεύτικοι ιστότοποι μέσω του Google Ads
Ένας από τους κύριους τρόπους διανομής του LOBSHOT είναι μέσω της χρήσης ψεύτικων ιστότοπων που προωθούνται μέσω του Google Ads. Οι φορείς απειλών δημιουργούν και διατηρούν αυτούς τους πλαστούς ιστότοπους, οι οποίοι έχουν σχεδιαστεί για να μιμούνται νόμιμες ιστοσελίδες και υπηρεσίες. Εκμεταλλευόμενοι την πλατφόρμα Google Ads, οι αντίπαλοι μπορούν να εμφανίσουν τις κακόβουλες διαφημίσεις τους σε ανυποψίαστους χρήστες που ενδέχεται να κάνουν κλικ στις διαφημίσεις με την εντύπωση ότι είναι γνήσιες, οδηγώντας στην εγκατάσταση του κακόβουλου λογισμικού LOBSHOT στις συσκευές τους.
Ανακατεύθυνση χρηστών σε Fake AnyDesk Domain
Εκτός από τη χρήση ψεύτικων ιστότοπων, η διαδικασία διανομής για κακόβουλο λογισμικό LOBSHOT περιλαμβάνει επίσης την ανακατεύθυνση των χρηστών σε έναν πλαστό τομέα AnyDesk. Το AnyDesk είναι μια δημοφιλής εφαρμογή απομακρυσμένης επιφάνειας εργασίας στην οποία βασίζονται πολλές επιχειρήσεις και ιδιώτες για απομακρυσμένη πρόσβαση και υποστήριξη. Οι φορείς απειλών εκμεταλλεύτηκαν αυτήν την εμπιστοσύνη δημιουργώντας έναν εικονικό τομέα AnyDesk για να εξαπατήσουν τους χρήστες να κατεβάσουν μια κακόβουλη έκδοση του λογισμικού, η οποία είναι στην πραγματικότητα κακόβουλο λογισμικό LOBSHOT. Αυτή η μέθοδος υπογραμμίζει περαιτέρω τις πονηρές τακτικές που χρησιμοποιούν αυτοί οι εγκληματίες του κυβερνοχώρου για να παγιδεύουν τα θύματα και να εκτελούν τις κακόβουλες δραστηριότητές τους.
Εγκατάσταση μέσω παραβιασμένου συστήματος
Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό LOBSHOT μπορεί να εγκατασταθεί στη συσκευή του θύματος μέσω ενός παραβιασμένου συστήματος. Αυτό μπορεί να συμβεί εάν ο χρήστης επισκεφτεί ή κατεβάσει εν αγνοία του περιεχόμενο από έναν ιστότοπο που έχει μολυνθεί από το κακόβουλο λογισμικό ή εάν έχει γίνει στόχος μιας καμπάνιας ψαρέματος με δόρυ. Μόλις το κακόβουλο λογισμικό διεισδύσει επιτυχώς στη συσκευή του θύματος, μπορεί να παραχωρήσει κρυφή πρόσβαση VNC στον παράγοντα απειλής, ο οποίος στη συνέχεια μπορεί να ελέγξει εξ αποστάσεως και να χειριστεί το σύστημα όπως επιθυμεί.
Οι δυνατότητες του LOBSHOT
Το κακόβουλο λογισμικό LOBSHOT διαθέτει μια σειρά από τρομερές δυνατότητες που το καθιστούν ικανό να διεισδύει και να εκμεταλλεύεται συσκευές χρηστών. Το κακόβουλο λογισμικό εστιάζει κυρίως στο κρυφό Virtual Network Computing (hVNC), επιτρέποντας στους εισβολείς να ελέγχουν εξ αποστάσεως τις μολυσμένες συσκευές και να έχουν πρόσβαση στη διεπαφή χρήστη τους. Οι βασικές δυνατότητες του LOBSHOT περιλαμβάνουν:
Υπολογισμός κρυφού εικονικού δικτύου (hVNC)
Στο επίκεντρο της λειτουργικότητας του LOBSHOT είναι η ικανότητά του να παρέχει κρυφή πρόσβαση VNC σε συσκευές θυμάτων. Μέσω του hVNC, χορηγείται στους εισβολείς μια μυστική μέθοδος απομακρυσμένου ελέγχου μιας συσκευής χωρίς τη συγκατάθεση ή τη γνώση του θύματος. Η λειτουργία hVNC καθιστά το LOBSHOT ιδιαίτερα επικίνδυνο, καθώς επιτρέπει στους κακούς ηθοποιούς να διατηρούν μια μυστική παρουσία σε παραβιασμένες συσκευές ενώ εκτελούν διάφορες βλαβερές δραστηριότητες.
Τηλεχειριστήριο της Συσκευής
Οι δυνατότητες hVNC του LOBSHOT επιτρέπουν στους εισβολείς να αναλαμβάνουν τον πλήρη έλεγχο των μολυσμένων συσκευών, να εκτελούν εντολές, να κάνουν αλλαγές και να έχουν πρόσβαση σε πόρους σαν να ήταν ο νόμιμος χρήστης. Αυτό το επίπεδο ελέγχου επιτρέπει στους παράγοντες της απειλής να πραγματοποιούν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, συμπεριλαμβανομένης της διείσδυσης δεδομένων, της εγκατάστασης πρόσθετου κακόβουλου λογισμικού και της διεξαγωγής εκστρατειών κατασκοπείας. Η δυνατότητα απομακρυσμένου ελέγχου της συσκευής ενός θύματος υπογραμμίζει τη σημαντική απειλή που θέτει το LOBSHOT.
Πλήρες γραφικό περιβάλλον χρήστη (GUI)
Το κακόβουλο λογισμικό έχει επίσης τη δυνατότητα πρόσβασης στο πλήρες γραφικό περιβάλλον χρήστη (GUI) της συσκευής-στόχου, πράγμα που σημαίνει ότι ο εισβολέας μπορεί να αλληλεπιδράσει οπτικά με το περιβάλλον επιφάνειας εργασίας της συσκευής. Αυτή η δυνατότητα προσθέτει ένα άλλο επίπεδο αποτελεσματικότητας και ελέγχου στο κακόβουλο λογισμικό, διευκολύνοντας τον παράγοντα απειλής να πλοηγηθεί και να χειριστεί τη συσκευή που έχει παραβιαστεί. Η πρόσβαση στο πλήρες γραφικό περιβάλλον επιτρέπει στον εισβολέα να παρακολουθεί τις δραστηριότητες των χρηστών, να έχει πρόσβαση σε ευαίσθητες πληροφορίες και να εκτελεί ενέργειες που αποδίδονται στον νόμιμο χρήστη, τονίζοντας περαιτέρω την καταστροφικότητα του LOBSHOT.
Μετριασμός και Ανησυχίες
Το κακόβουλο λογισμικό LOBSHOT παρουσιάζει σημαντικές ανησυχίες τόσο σε μεμονωμένους χρήστες όσο και σε οργανισμούς, λόγω των κρυφών δυνατοτήτων VNC και της συσχέτισης με παράγοντες απειλών με οικονομικά κίνητρα, όπως το TA505. Ο μετριασμός και η αντιμετώπιση αυτών των ανησυχιών περιλαμβάνει την κατανόηση των πιθανών κινδύνων και την εφαρμογή κατάλληλων αμυντικών μέτρων, καθώς και την απαίτηση για αυστηρότερους κανονισμούς σε πλατφόρμες όπως το Google Ads.
Κλοπή τραπεζικών και χρηματοοικονομικών πληροφοριών
Μία από τις κύριες ανησυχίες σχετικά με το LOBSHOT είναι η δυνατότητά του να κλέβει τραπεζικές και οικονομικές πληροφορίες από μολυσμένες συσκευές. Η κρυφή του πρόσβαση VNC επιτρέπει στους εισβολείς να διεισδύουν σε συσκευές χωρίς να ανιχνεύονται, να παρακολουθούν τις δραστηριότητες των χρηστών και να καταγράφουν ευαίσθητα δεδομένα όπως διαπιστευτήρια σύνδεσης, αριθμούς λογαριασμών και λεπτομέρειες συναλλαγών. Τέτοιες πληροφορίες μπορούν να αξιοποιηθούν για οικονομικό όφελος ή να χρησιμοποιηθούν σε περαιτέρω επιθέσεις, όπως γέμιση διαπιστευτηρίων ή εκστρατείες phishing.
Ζητά για αυστηρότερο κανονισμό διαφημίσεων στο Google
Ως απάντηση στην αυξανόμενη απειλή διανομής κακόβουλου λογισμικού μέσω του Google Ads, αρκετοί ερευνητές και επαγγελματίες ασφάλειας ζήτησαν από την Alphabet, την εταιρεία χαρτοφυλακίου της Google, να επιβάλει αυστηρότερους κανονισμούς για την έγκριση διαφημίσεων. Η εφαρμογή πιο ισχυρών διαδικασιών ελέγχου διαφημίσεων και μηχανισμών επαλήθευσης μπορεί να συμβάλει στην ελαχιστοποίηση της εξάπλωσης κακόβουλου λογισμικού όπως το LOBSHOT και να μειώσει τον κίνδυνο ανυποψίαστων χρηστών να πέσουν θύματα τέτοιων απειλών. Στο μεταξύ, οι τελικοί χρήστες θα πρέπει να λαμβάνουν προφυλάξεις επαληθεύοντας τη νομιμότητα του τομέα που επισκέπτονται και του λογισμικού που κατεβάζουν.