تخفیف چند مجوز
Computer Security بدافزار LOBSHOT از طریق بررسی بدافزاری کشف شد

بدافزار LOBSHOT از طریق بررسی بدافزاری کشف شد

تا Mura در Computer Security
ترجمه به:
فارسی

محققان آزمایشگاه‌های امنیتی Elastic اخیراً در جریان تحقیقات کامل خود در مورد افزایش کمپین‌های تبلیغات بدافزار بدافزار جدیدی به نام LOBSHOT کشف کرده‌اند. LOBSHOT از توجه ویژه ای برخوردار است زیرا به عاملان تهدید دسترسی پنهان VNC (محاسبات شبکه مجازی) را به دستگاه های آلوده می دهد. محققان همچنین ارتباط بین بدافزار و TA505، یک گروه مجرم سایبری با انگیزه مالی که به دلیل استقرار باج‌افزارهای مختلف و تروجان‌های بانکی معروف است، پیدا کردند.

جهش در کمپین های تبلیغات بد

تعداد کمپین‌های بدافزار در حال افزایش است و ماهیت مخفیانه آن‌ها، تمایز بین تبلیغات مشروع و مخرب را برای کاربران دشوار می‌سازد. محققان امنیتی مشاهده کرده‌اند که این افزایش ممکن است به عاملان تهدیدی نسبت داده شود که تبلیغات بد را به عنوان یک سرویس می‌فروشند و اهمیت هوشیاری هنگام تعامل با تبلیغات آنلاین را بیشتر نشان می‌دهد.

در طول تحقیقات خود، Elastic Security Labs افزایش چشمگیری را در کمپین های تبلیغات بد با استفاده از کیت های بهره برداری برای هدف قرار دادن آسیب پذیری های خاص در برنامه های کاربردی پرکاربرد مشاهده کردند. این کمپین ها به طور فزاینده ای در چندین وب سایت محبوب مشاهده شده اند و میلیون ها کاربر را در معرض تهدیدات بالقوه قرار می دهند. معمولاً بازدیدکنندگان این وب‌سایت‌ها با تبلیغات نادرست مواجه می‌شوند که با کلیک روی آن‌ها، به صفحه فرود کیت بهره‌برداری هدایت می‌شوند، جایی که LOBSHOT در نهایت در دستگاه کاربر اجرا می‌شود.

زیرساخت TA505

TA505 ، گروه مجرم سایبری که مظنون به پشت سر گذاشتن و استقرار LOBSHOT است، مدت‌هاست که به دلیل فعالیت‌های مخرب گسترده‌اش شناخته شده است. این گروه به خاطر کمپین‌های حمله به خوبی سازمان‌دهی‌شده و متنوع، به‌ویژه تمرکز بر موسسات مالی به‌عنوان اهداف اصلی خود، اما همچنین گسترش فعالیت‌های مخرب خود به سایر صنایع، شناخته شده است.

پس از تجزیه و تحلیل LOBSHOT، Elastic Security Labs همپوشانی های واضحی بین زیرساخت بدافزار و زیرساخت TA505 شناسایی شده قبلی پیدا کرد. شباهت در روش‌های حمله و زیرساخت‌های همپوشانی به این فرضیه اعتبار می‌دهد که TA505 مسئول توسعه و استفاده فعال از LOBSHOT است.

دسترسی مخفی VNC

یکی از نگران کننده ترین جنبه های LOBSHOT، قابلیت آن برای اعطای دسترسی پنهان به عوامل تهدید به دستگاه های قربانیان از طریق VNC است. این ویژگی خاص به مهاجمان این امکان را می‌دهد که از راه دور به یک دستگاه آلوده دسترسی داشته باشند، در حالی که رضایت کاربر را دور می‌زنند و به آنها امکان نظارت، دستکاری و استخراج داده‌های حساس را بدون اطلاع کاربر می‌دهد. دسترسی پنهان VNC، LOBSHOT را به ابزاری قدرتمند و خطرناک در زرادخانه مجرمان سایبری، به‌ویژه آنهایی که انگیزه‌های مالی دارند، تبدیل می‌کند.

روش توزیع

مشاهده شده است که روش توزیع بدافزار LOBSHOT شامل تاکتیک‌های فریبنده، استفاده از تبلیغات گوگل و وب‌سایت‌های جعلی برای جذب قربانیان ناآگاه است. این تکنیک‌ها پیچیدگی و سازگاری عوامل تهدید در پشت این بدافزار را بیشتر نشان می‌دهند، و احتیاط را برای کاربران نهایی در هنگام مرور و کلیک بر روی تبلیغات ضروری‌تر می‌کنند.

وب سایت های جعلی از طریق تبلیغات گوگل

یکی از راه‌های اصلی توزیع LOBSHOT، استفاده از وب‌سایت‌های جعلی است که از طریق Google Ads تبلیغ می‌شوند. عوامل تهدید این وب سایت های تقلبی را ایجاد و نگهداری می کنند که برای تقلید از وب سایت ها و خدمات قانونی طراحی شده اند. با بهره‌برداری از پلتفرم Google Ads، دشمنان می‌توانند تبلیغات مخرب خود را به کاربران ناآگاهی نشان دهند که ممکن است با این تصور که تبلیغات واقعی هستند، روی تبلیغات کلیک کنند و منجر به نصب بدافزار LOBSHOT بر روی دستگاه‌هایشان شود.

هدایت کاربران به دامنه جعلی AnyDesk

جدا از استفاده از وب‌سایت‌های جعلی، فرآیند توزیع بدافزار LOBSHOT شامل هدایت کاربران به یک دامنه تقلبی AnyDesk نیز می‌شود. AnyDesk یک برنامه محبوب دسکتاپ از راه دور است که بسیاری از مشاغل و افراد برای دسترسی و پشتیبانی از راه دور به آن تکیه می کنند. عوامل تهدید با ایجاد یک دامنه ساختگی AnyDesk برای فریب کاربران برای دانلود نسخه مخرب نرم افزار، که در واقع بدافزار LOBSHOT است، از این اعتماد استفاده کرده اند. این روش بیشتر تاکتیک های حیله گرانه ای را که توسط این مجرمان سایبری برای به دام انداختن قربانیان و اجرای فعالیت های مخرب آنها استفاده می شود، برجسته می کند.

نصب از طریق سیستم در معرض خطر

در برخی موارد، بدافزار LOBSHOT را می توان از طریق یک سیستم در معرض خطر بر روی دستگاه قربانی نصب کرد. این ممکن است در صورتی اتفاق بیفتد که کاربر به طور ناآگاهانه از وب‌سایتی که توسط بدافزار آلوده شده است بازدید کند یا محتوای آن را دانلود کند یا اگر هدف یک کمپین فیشینگ قرار گرفته باشد. هنگامی که بدافزار با موفقیت به دستگاه قربانی نفوذ کرد، می‌تواند دسترسی مخفی VNC را به عامل تهدید اعطا کند، که سپس می‌تواند از راه دور سیستم را به دلخواه کنترل و دستکاری کند.

قابلیت های LOBSHOT

بدافزار LOBSHOT دارای طیف وسیعی از قابلیت‌های فوق‌العاده است که آن را در نفوذ و بهره‌برداری از دستگاه‌های کاربر ماهر می‌کند. این بدافزار اساساً بر محاسبات شبکه مجازی پنهان (hVNC) تمرکز می‌کند و به مهاجمان اجازه می‌دهد دستگاه‌های آلوده را از راه دور کنترل کنند و به رابط کاربری آن‌ها دسترسی داشته باشند. قابلیت های اصلی LOBSHOT عبارتند از:

محاسبات شبکه مجازی پنهان (hVNC)

در قلب عملکرد LOBSHOT ظرفیت آن برای ارائه دسترسی VNC مخفی به دستگاه های قربانی است. از طریق hVNC، به مهاجمان روشی مخفی برای کنترل از راه دور دستگاه بدون رضایت یا اطلاع قربانی داده می شود. ویژگی hVNC LOBSHOT را به ویژه خطرناک می‌کند، زیرا به بازیگران بد اجازه می‌دهد در حین انجام فعالیت‌های شرورانه مختلف، حضور مخفیانه در دستگاه‌های آسیب‌دیده را حفظ کنند.

کنترل از راه دور دستگاه

قابلیت‌های hVNC LOBSHOT به مهاجمان این امکان را می‌دهد که کنترل کامل دستگاه‌های آلوده را در دست بگیرند، دستورات را اجرا کنند، تغییراتی ایجاد کنند و به منابع دسترسی پیدا کنند که گویی کاربر قانونی هستند. این سطح از کنترل به عوامل تهدید اجازه می‌دهد تا طیف گسترده‌ای از فعالیت‌های مخرب از جمله استخراج داده‌ها، نصب بدافزارهای اضافی و انجام کمپین‌های جاسوسی را انجام دهند. توانایی کنترل از راه دور دستگاه قربانی بر تهدید مهم ناشی از LOBSHOT تاکید می کند.

رابط کاربری کامل گرافیکی (GUI)

این بدافزار همچنین توانایی دسترسی به رابط گرافیکی کامل کاربر (GUI) دستگاه مورد نظر را دارد، به این معنی که مهاجم می تواند به صورت بصری با محیط دسکتاپ دستگاه تعامل داشته باشد. این ویژگی لایه دیگری از کارایی و کنترل را به بدافزار اضافه می‌کند و عامل تهدید را آسان‌تر می‌کند تا بتواند دستگاه در معرض خطر را هدایت و دستکاری کند. دسترسی به رابط کاربری گرافیکی کامل، مهاجم را قادر می‌سازد تا بر فعالیت‌های کاربر نظارت داشته باشد، به اطلاعات حساس دسترسی داشته باشد و اقداماتی را که به کاربر قانونی نسبت داده می‌شود، انجام دهد و بر مضر بودن LOBSHOT تأکید بیشتری دارد.

کاهش و نگرانی

بدافزار LOBSHOT به دلیل قابلیت‌های پنهان VNC و ارتباط با عوامل تهدید با انگیزه مالی مانند TA505، نگرانی‌های قابل توجهی را برای کاربران و سازمان‌ها ایجاد می‌کند. کاهش و رسیدگی به این نگرانی ها مستلزم درک خطرات بالقوه و اجرای اقدامات دفاعی مناسب و همچنین درخواست مقررات سختگیرانه در پلتفرم هایی مانند Google Ads است.

سرقت اطلاعات بانکی و مالی

یکی از نگرانی های اصلی در مورد LOBSHOT، پتانسیل آن برای سرقت اطلاعات بانکی و مالی از دستگاه های آلوده است. دسترسی مخفی VNC آن به مهاجمان اجازه می دهد تا بدون شناسایی به دستگاه ها نفوذ کنند، فعالیت های کاربر را نظارت کنند و داده های حساسی مانند اعتبار ورود، شماره حساب و جزئیات تراکنش را ضبط کنند. چنین اطلاعاتی می تواند برای منافع اقتصادی مورد سوء استفاده قرار گیرد یا در حملات بعدی مانند پر کردن اعتبار یا کمپین های فیشینگ استفاده شود.

خواستار مقررات سختگیرانه تبلیغات در Google است

در پاسخ به تهدید فزاینده توزیع بدافزار از طریق Google Ads، چندین محقق و متخصص امنیتی از آلفابت، شرکت هلدینگ گوگل، خواستار اعمال مقررات سختگیرانه‌تر برای تایید تبلیغات شده‌اند. اجرای فرآیندهای غربالگری تبلیغات قوی‌تر و مکانیسم‌های راستی‌آزمایی می‌تواند به به حداقل رساندن انتشار بدافزارهایی مانند LOBSHOT کمک کند و خطر قربانی شدن کاربران ناآگاهانه در معرض چنین تهدیدهایی را کاهش دهد. در این بین، کاربران نهایی باید با تأیید صحت دامنه ای که بازدید می کنند و نرم افزاری که دانلود می کنند، اقدامات احتیاطی را انجام دهند.

بارگذاری...