LOBSHOT pahavara avastati pahatahtliku uurimise käigus
Elastic Security Labsi teadlased avastasid hiljuti ründekampaaniate kasvu põhjaliku uurimise käigus uue pahavara nimega LOBSHOT . LOBSHOT pakub erilist huvi, kuna see annab ohus osalejatele varjatud VNC (Virtual Network Computing) juurdepääsu nakatunud seadmetele. Samuti leidsid teadlased seoseid pahavara ja TA505 vahel, mis on rahaliselt motiveeritud küberkurjategijate rühmitus, mis on tuntud mitmesuguste lunavarade ja pangandustroojalaste juurutamise poolest.
Sisukord
Spike in Malvertising kampaaniad
Pahatahtlike kampaaniate arv on kasvanud ja nende varguse olemuse tõttu on kasutajatel raske õigustatud ja pahatahtlikel reklaamidel vahet teha. Turvateadlased on täheldanud, et selle tõusu võib seostada ohustajatega, kes müüvad pahavaralist reklaami teenusena, rõhutades veelgi valvsuse tähtsust veebireklaamidega suhtlemisel.
Elastic Security Labs täheldas kogu oma uurimistöö käigus silmatorkavat hüpet pahatahtlike reklaamide kampaaniates, mis kasutasid ärakasutamiskomplekte, et sihtida laialdaselt kasutatavate rakenduste konkreetseid haavatavusi. Neid kampaaniaid on järjest enam täheldatud mitmel populaarsel veebisaidil, mis on miljonite kasutajate jaoks potentsiaalsete ohtude all. Tavaliselt kogevad nende veebisaitide külastajad pahatahtlikke reklaame, millel klõpsamine suunab edasi exploit kit'i sihtlehele, mille LOBSHOT lõpuks kasutaja seadmes käivitab.
TA505 infrastruktuur
TA505 , küberkurjategijate rühmitus, keda kahtlustatakse LOBSHOTi arendamise ja kasutuselevõtu taga, on pikka aega tunnustatud oma laiaulatusliku pahatahtliku tegevuse eest. See rühmitus on tuntud oma hästi organiseeritud ja mitmekesiste rünnakukampaaniate poolest, keskendudes eelkõige finantsasutustele kui nende peamistele sihtmärkidele, kuid laiendades nende pahatahtlikku tegevust ka teistele tööstusharudele.
Pärast LOBSHOTi analüüsi leidis Elastic Security Labs selgeid kattumisi pahavara infrastruktuuri ja varem tuvastatud TA505 infrastruktuuri vahel. Ründemetoodikate sarnasus ja kattuv infrastruktuur annab aluse hüpoteesile, et TA505 vastutab LOBSHOTi arendamise ja aktiivse kasutamise eest.
Varjatud VNC juurdepääs
Üks LOBSHOTi kõige murettekitavamaid aspekte on selle võime anda ohus osalejatele VNC kaudu ohvrite seadmetele varjatud juurdepääs. See spetsiifiline funktsioon võimaldab ründajatel saada kaugjuurdepääsu nakatunud seadmele, jättes samal ajal kasutaja nõusolekust mööda, võimaldades neil jälgida, manipuleerida ja kasutaja teadmata tundlikke andmeid välja filtreerida. Varjatud VNC-juurdepääs teeb LOBSHOTist võimsa ja ohtliku tööriista küberkurjategijate arsenalis, eriti nende jaoks, kellel on rahaline motivatsioon.
Jaotusmeetod
On täheldatud, et LOBSHOT-i pahavara levitamismeetod hõlmab petturlikke taktikaid, Google Adsi ja võltsveebisaitide ärakasutamist, et meelitada pahaaimamatuid ohvreid. Need tehnikad demonstreerivad veelgi selle pahavara taga olevate ohustajate keerukust ja kohanemisvõimet, mistõttu on lõppkasutajate jaoks veelgi olulisem olla reklaamide sirvimisel ja klõpsamisel ettevaatlik.
Võltsveebisaidid Google Adsi kaudu
Üks peamisi LOBSHOTi levitamise viise on Google Adsi kaudu reklaamitavate võltsveebisaitide kasutamine. Ohutegurid loovad ja hooldavad neid võltsitud veebisaite, mis on loodud seaduslike veebisaitide ja teenuste jäljendamiseks. Google Adsi platvormi ära kasutades saavad vastased kuvada oma pahatahtlikke reklaame pahaaimamatutele kasutajatele, kes võivad reklaamidel klikkida, jäädes mulje, et need on ehtsad, mis viib nende seadmetesse pahavara LOBSHOT installimiseni.
Kasutajate ümbersuunamine võltsitud AnyDeski domeenile
Lisaks võltsitud veebisaitide kasutamisele hõlmab LOBSHOT-i pahavara levitamisprotsess ka kasutajate suunamist võltsitud AnyDeski domeenile. AnyDesk on populaarne kaugtöölauarakendus, millele paljud ettevõtted ja üksikisikud loodavad kaugjuurdepääsu ja -toe saamiseks. Ohutegurid on seda usaldust ära kasutanud, luues fiktiivse AnyDeski domeeni, et petta kasutajaid tarkvara pahatahtliku versiooni allalaadimiseks, mis on tegelikult LOBSHOT-i pahavara. See meetod rõhutab veelgi kavalaid taktikaid, mida need küberkurjategijad kasutavad ohvrite lõksu püüdmiseks ja nende pahatahtlike tegevuste sooritamiseks.
Paigaldamine kahjustatud süsteemi kaudu
Mõnel juhul saab LOBSHOT-i pahavara installida ohvri seadmesse ohustatud süsteemi kaudu. See võib juhtuda, kui kasutaja külastab pahavaraga nakatunud veebisaiti või laadib sellelt sisu alla või kui ta on sattunud andmepüügikampaania sihtmärgiks. Kui pahavara on ohvri seadmesse edukalt tunginud, võib see anda varjatud VNC-juurdepääsu ohus osalejale, kes saab seejärel süsteemi kaugjuhtida ja soovi korral manipuleerida.
LOBSHOTi võimalused
LOBSHOT-i pahavara uhkeldab paljude tohutute võimalustega, mis muudavad selle osavaks kasutajaseadmetesse imbumisel ja nende ärakasutamisel. Pahavara keskendub peamiselt peidetud virtuaalsele võrguarvutile (hVNC), võimaldades ründajatel nakatunud seadmeid kaugjuhtida ja nende kasutajaliidest juurde pääseda. LOBSHOTi põhivõimalused hõlmavad järgmist:
Varjatud virtuaalvõrgu andmetöötlus (hVNC)
LOBSHOTi funktsioonide keskmes on selle võime pakkuda ohvriseadmetele peidetud VNC-juurdepääsu. HVNC kaudu antakse ründajatele varjatud meetod seadme kaugjuhtimiseks ilma ohvri nõusolekuta või teadmata. HVNC funktsioon muudab LOBSHOTi eriti ohtlikuks, kuna see võimaldab halbadel näitlejatel säilitada ohustatud seadmetes vargsi kohalolekut, tehes samal ajal mitmesuguseid alatuid tegevusi.
Seadme kaugjuhtimispult
LOBSHOTi hVNC võimalused võimaldavad ründajatel võtta nakatunud seadmete üle täielik kontroll, täita käske, teha muudatusi ja pääseda ligi ressurssidele nii, nagu oleks nad seaduslik kasutaja. See kontrollitase võimaldab ohus osalejatel läbi viia mitmesuguseid pahatahtlikke tegevusi, sealhulgas andmete väljafiltreerimist, täiendava pahavara installimist ja spionaažikampaaniaid. Võimalus kaugjuhtida ohvri seadet rõhutab LOBSHOTi olulist ohtu.
Täisgraafiline kasutajaliides (GUI)
Pahavaral on ka võimalus pääseda juurde sihtseadme täielikule graafilisele kasutajaliidesele (GUI), mis tähendab, et ründaja saab seadme töölauakeskkonnaga visuaalselt suhelda. See funktsioon lisab ründevarale veel ühe tõhususe ja kontrolli, muutes ohus osalejal rikutud seadmes navigeerimise ja sellega manipuleerimise lihtsamaks. Juurdepääs täielikule GUI-le võimaldab ründajal jälgida kasutaja tegevust, pääseda juurde tundlikule teabele ja sooritada seaduslikule kasutajale omistatud toiminguid, rõhutades veelgi LOBSHOTi kahjulikku mõju.
Leevendus ja mured
Pahavara LOBSHOT valmistab nii üksikkasutajatele kui ka organisatsioonidele märkimisväärset muret oma varjatud VNC-võimaluste ja seotuse tõttu rahaliselt motiveeritud ohus osalejatega, nagu TA505. Nende probleemide leevendamine ja lahendamine hõlmab võimalike riskide mõistmist ja asjakohaste kaitsemeetmete rakendamist, samuti nõudmist rangemate eeskirjade kehtestamiseks platvormidel, nagu Google Ads.
Panga- ja finantsteabe varastamine
Üks LOBSHOTiga seotud peamisi probleeme on selle potentsiaal varastada nakatunud seadmetest panga- ja finantsteavet. Selle peidetud VNC-juurdepääs võimaldab ründajatel avastamatult seadmetesse tungida, jälgida kasutajate tegevusi ja jäädvustada tundlikke andmeid, nagu sisselogimismandaadid, kontonumbrid ja tehingu üksikasjad. Sellist teavet saab ära kasutada majandusliku kasu saamiseks või kasutada edasistes rünnakutes, näiteks mandaatide täitmisel või andmepüügikampaaniates.
nõuab Google'is rangemat reklaamiregulatsiooni
Vastuseks Google Adsi kaudu leviva pahavara kasvavale ohule on mitmed teadlased ja turvaspetsialistid kutsunud üles Google'i valdusfirmat Alphabet kehtestama reklaamide heakskiitmise suhtes rangemad eeskirjad. Tugevamate reklaamide sõelumisprotsesside ja kontrollimehhanismide rakendamine võib aidata minimeerida pahavara, nagu LOBSHOT, levikut ja vähendada pahaaimamatute kasutajate ohtu selliste ohtude ohvriks langeda. Vahepeal peaksid lõppkasutajad võtma ettevaatusabinõusid, kontrollides külastatava domeeni ja allalaaditava tarkvara legitiimsust.