Κακόβουλο λογισμικό LOBSHOT
Μια νέα απειλή κακόβουλου λογισμικού που ονομάζεται LOBSHOT βρέθηκε ότι διανέμεται μέσω του Google Ads και μπορεί να μολύνει συσκευές Windows χρησιμοποιώντας hVNC. Το κακόβουλο λογισμικό παρατηρήθηκε από ερευνητές στον τομέα της κυβερνοασφάλειας να προωθείται από διαφημίσεις που φαίνεται να προορίζονται για το νόμιμο λογισμικό απομακρυσμένης διαχείρισης AnyDesk. Ωστόσο, οι κακόβουλες διαφημίσεις οδηγούν τους χρήστες σε έναν ψεύτικο ιστότοπο. Αυτή η σελίδα, «amydeecke.website», ωθεί ένα κακόβουλο αρχείο MSI που, με τη σειρά του, εκτελεί μια εντολή PowerShell. Ο στόχος είναι να κατεβάσετε ένα DLL από το download-cdn[.]com, έναν τομέα που στο παρελθόν είχε συσχετιστεί με τις κυβερνοεγκληματικές δραστηριότητες της ομάδας ransomware TA505/Clop.
Το ληφθέν αρχείο DLL είναι το κακόβουλο λογισμικό LOBSHOT και αποθηκεύεται στο φάκελο C:\ProgramData, όπου εκτελείται από το RunDLL32.exe. Σύμφωνα με μια αναφορά, η οποία αποκάλυψε λεπτομέρειες για το LOBSHOT, οι ερευνητές παρατήρησαν πάνω από 500 μοναδικά δείγματα LOBSHOT από τον Ιούλιο του 2022. Τα δείγματα που προσδιορίστηκαν συνήθως μεταγλωττίζονται ως DLL 32-bit ή εκτελέσιμα 32-bit που κυμαίνονται μεταξύ 93 KB και 124 KB. Μόλις εκτελεστεί στις συσκευές που έχουν παραβιαστεί, το LOBSHOT ελέγχει εάν εκτελείται το Microsoft Defender και τερματίζει την εκτέλεσή του εάν εντοπιστεί.
Πίνακας περιεχομένων
Κυβερνοεγκληματίες Εκμεταλλεύονται το Google Ads για να διανείμουν απειλές κακόβουλου λογισμικού
Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν παρατηρήσει μια σημαντική αύξηση στη χρήση διαφημίσεων Google από φορείς απειλών για τη διάδοση κακόβουλου λογισμικού μέσω των αποτελεσμάτων αναζήτησης. Οι κακόβουλες διαφημιστικές εκστρατείες αφορούσαν την απομίμηση διαφόρων ιστοσελίδων και νόμιμων προϊόντων λογισμικού, όπως 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus και πολλές άλλες εφαρμογές.
Παρά την εντύπωση νομιμότητας που δίνουν οι διαφημίσεις, οι ιστότοποι στους οποίους ανακατευθύνουν είναι στην πραγματικότητα σχεδιασμένοι για να διαδίδουν κακόβουλο λογισμικό, συμπεριλαμβανομένων των Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT και του Royal Ransomware αντί να παρέχουν γνήσιες εφαρμογές.
Το κακόβουλο λογισμικό LOBSHOT στοχεύει επεκτάσεις και πορτοφόλια κρυπτονομισμάτων
Εάν το LOBSHOT δεν βρει σημάδια παρουσίας του Microsoft Defender, θα προχωρήσει στον απειλητικό προγραμματισμό του. Η απειλή θα διαμορφώσει αυτόματα τις καταχωρίσεις μητρώου για να διασφαλίσει την εκκίνηση σε κάθε εκκίνηση των Windows. Στη συνέχεια, το LOBSHOT θα συλλέξει και θα ξεκινήσει τη μετάδοση πληροφοριών συστήματος, συμπεριλαμβανομένων όλων των διαδικασιών που εκτελούνται, από τη μολυσμένη συσκευή. Επιπλέον, το κακόβουλο λογισμικό αναζητά την παρουσία 32 επεκτάσεων πορτοφολιού κρυπτονομισμάτων Chrome, εννέα επεκτάσεων πορτοφολιού Edge και 11 επεκτάσεων πορτοφολιού Firefox.
Με τον εντοπισμό αυτών των επεκτάσεων, το κακόβουλο λογισμικό εκτελεί ένα αρχείο στο φάκελο C:\ProgramData. Ωστόσο, οι ερευνητές δεν είναι βέβαιοι εάν ο σκοπός του αρχείου είναι η εξαγωγή δεδομένων επέκτασης ή κάποια άλλη επιβλαβής ενέργεια.
Αν και η συλλογή επεκτάσεων κρυπτονομισμάτων είναι ένας κοινός στόχος για κακόβουλο λογισμικό, το κακόβουλο λογισμικό LOBSHOT έχει επίσης μια μονάδα hVNC ενσωματωμένη στη δομή του. Αυτή η ενότητα επιτρέπει στους παράγοντες απειλής να έχουν πρόσβαση σε μια μολυσμένη συσκευή από απόσταση και διακριτικά.
Το κακόβουλο λογισμικό LOBSHOT παρέχει απομακρυσμένη πρόσβαση στις παραβιασμένες συσκευές
Η δυνατότητα απομακρυσμένου ελέγχου ενός επιτραπέζιου υπολογιστή με Windows χωρίς τη γνώση του θύματος καθίσταται δυνατή από τη μονάδα hVNC (κρυφό εικονικό δίκτυο υπολογιστών).
Το κακόβουλο λογισμικό γνωστό ως LOBSHOT περιλαμβάνει μια μονάδα hVNC, η οποία επιτρέπει στους παράγοντες απειλών να χειρίζονται την κρυφή επιφάνεια εργασίας σαν να ήταν φυσικά παρόντες μπροστά της, χρησιμοποιώντας το πληκτρολόγιο και το ποντίκι τους.
Μόλις ενεργοποιηθεί η μονάδα, το μηχάνημα του θύματος αρχίζει να μεταδίδει λήψεις οθόνης της κρυφής επιφάνειας εργασίας σε έναν πελάτη ακρόασης που ελέγχεται από τον εισβολέα. Ο εισβολέας μπορεί να αλληλεπιδράσει με τον πελάτη χειραγωγώντας το πληκτρολόγιο, κάνοντας κλικ σε κουμπιά και μετακινώντας το ποντίκι, δίνοντάς του τον πλήρη απομακρυσμένο έλεγχο της συσκευής.
Με την πλήρη πρόσβαση που παρέχεται από το hVNC, οι φορείς απειλών μπορούν να πραγματοποιούν διάφορες δραστηριότητες, όπως εκτέλεση εντολών, κλοπή δεδομένων και ανάπτυξη πρόσθετων ωφέλιμων φορτίων κακόβουλου λογισμικού.
