LOBSHOT Pahavara
Leiti, et Google Adsi kaudu levib uus pahavaraoht nimega LOBSHOT, mis on võimeline hVNC abil Windowsi seadmeid nakatama. Pahavara märkasid küberjulgeolekuteadlased, keda reklaamisid reklaamid, mis näisid olevat seadusliku AnyDeski kaughaldustarkvara jaoks. Pahatahtlikud reklaamid viivad aga kasutajad võltsitud veebisaidile. See leht "amydeecke.website" edastab pahatahtliku MSI-faili, mis omakorda käivitab PowerShelli käsu. Eesmärk on laadida alla DLL domeenist download-cdn[.]com, mida on varem seostatud lunavaragrupi TA505/Clop küberkuritegevusega.
Allalaaditud DLL-fail on LOBSHOT-i pahavara ja see salvestatakse kausta C:\ProgramData, kus selle käivitab RunDLL32.exe. Vastavalt aruandele, mis paljastas üksikasjad LOBSHOTi kohta, on teadlased alates 2022. aasta juulist vaadelnud üle 500 ainulaadse LOBSHOTi näidise. Tuvastatud näidised koostatakse tavaliselt 32-bitiste DLL-ide või 32-bitiste käivitatavate failidena vahemikus 93 KB kuni 124 KB. Kui LOBSHOT on rikutud seadmetes käivitatud, kontrollib see, kas Microsoft Defender töötab, ja avastamise korral lõpetab selle täitmise.
Sisukord
Küberkurjategijad kasutavad Google'i reklaame pahavaraohtude levitamiseks
Küberjulgeolekueksperdid on täheldanud Google'i reklaamide märkimisväärset kasvu ohus osalejate poolt pahavara levitamiseks otsingutulemuste kaudu. Pahatahtlikud reklaamikampaaniad hõlmasid erinevate veebisaitide ja legitiimsete tarkvaratoodete, nagu 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ja mitmed teised rakendused, imiteerimist.
Vaatamata muljele, et reklaamid on legitiimsed, on veebisaidid, millele need ümber suunavad, tegelikult loodud pahavara levitamiseks, sealhulgas Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT ja Royal Ransomware , selle asemel et pakkuda ehtsaid rakendusi.
LOBSHOT pahavara sihib krüptovaluuta laiendusi ja rahakotte
Kui LOBSHOT ei leia märke Microsoft Defenderi kohalolekust, jätkab see ähvardava programmeerimisega. Oht konfigureerib automaatselt registrikirjed, et tagada selle käivitumine igal Windowsi alglaadimisel. Seejärel kogub LOBSHOT nakatunud seadmest süsteemiteavet, sealhulgas kõiki töötavaid protsesse, ja hakkab seda edastama. Lisaks otsib pahavara 32 Chrome'i krüptovaluuta rahakoti laienduse, üheksa Edge'i rahakoti laienduse ja 11 Firefoxi rahakoti laienduse olemasolu.
Nende laiendite tuvastamisel käivitab pahavara faili kaustas C:\ProgramData. Teadlased pole aga kindlad, kas faili eesmärk on laiendiandmete väljavõtt või mõni muu kahjulik tegevus.
Kuigi krüptovaluuta laienduste kogumine on pahavara tavaline eesmärk, on LOBSHOT pahavara struktuuris ka hVNC moodul. See moodul võimaldab ohus osalejatel nakatunud seadmele diskreetselt kaugjuurdepääsu saada.
LOBSHOT-i pahavara pakub rikutud seadmetele kaugjuurdepääsu
Windowsi lauaarvuti kaugjuhtimise võimaluse ilma ohvri teadmata teeb võimalikuks hVNC (varjatud virtuaalne võrguarvutus) moodul.
Pahavara, mida tuntakse nime all LOBSHOT, sisaldab hVNC-moodulit, mis võimaldab ohus osalejatel oma klaviatuuri ja hiirt kasutades manipuleerida peidetud töölauaga, nagu oleksid nad füüsiliselt selle ees.
Kui moodul on aktiveeritud, hakkab ohvri masin edastama varjatud töölaua ekraanipilte ründaja juhitavale kuulavale kliendile. Ründaja saab kliendiga suhelda, manipuleerides klaviatuuri, klõpsates nuppe ja liigutades hiirt, andes neile seadme täieliku kaugjuhtimise.
HVNC-lt antud täieliku juurdepääsuga saavad ohus osalejad läbi viia mitmesuguseid tegevusi, nagu näiteks käskude täitmine, andmete varastamine ja täiendavate pahavarakoormuste juurutamine.
