بدافزار LOBSHOT از طریق بررسی بدافزاری کشف شد
محققان آزمایشگاههای امنیتی Elastic اخیراً در جریان تحقیقات کامل خود در مورد افزایش کمپینهای تبلیغات بدافزار بدافزار جدیدی به نام LOBSHOT کشف کردهاند. LOBSHOT از توجه ویژه ای برخوردار است زیرا به عاملان تهدید دسترسی پنهان VNC (محاسبات شبکه مجازی) را به دستگاه های آلوده می دهد. محققان همچنین ارتباط بین بدافزار و TA505، یک گروه مجرم سایبری با انگیزه مالی که به دلیل استقرار باجافزارهای مختلف و تروجانهای بانکی معروف است، پیدا کردند.
فهرست مطالب
جهش در کمپین های تبلیغات بد
تعداد کمپینهای بدافزار در حال افزایش است و ماهیت مخفیانه آنها، تمایز بین تبلیغات مشروع و مخرب را برای کاربران دشوار میسازد. محققان امنیتی مشاهده کردهاند که این افزایش ممکن است به عاملان تهدیدی نسبت داده شود که تبلیغات بد را به عنوان یک سرویس میفروشند و اهمیت هوشیاری هنگام تعامل با تبلیغات آنلاین را بیشتر نشان میدهد.
در طول تحقیقات خود، Elastic Security Labs افزایش چشمگیری را در کمپین های تبلیغات بد با استفاده از کیت های بهره برداری برای هدف قرار دادن آسیب پذیری های خاص در برنامه های کاربردی پرکاربرد مشاهده کردند. این کمپین ها به طور فزاینده ای در چندین وب سایت محبوب مشاهده شده اند و میلیون ها کاربر را در معرض تهدیدات بالقوه قرار می دهند. معمولاً بازدیدکنندگان این وبسایتها با تبلیغات نادرست مواجه میشوند که با کلیک روی آنها، به صفحه فرود کیت بهرهبرداری هدایت میشوند، جایی که LOBSHOT در نهایت در دستگاه کاربر اجرا میشود.
زیرساخت TA505
TA505 ، گروه مجرم سایبری که مظنون به پشت سر گذاشتن و استقرار LOBSHOT است، مدتهاست که به دلیل فعالیتهای مخرب گستردهاش شناخته شده است. این گروه به خاطر کمپینهای حمله به خوبی سازماندهیشده و متنوع، بهویژه تمرکز بر موسسات مالی بهعنوان اهداف اصلی خود، اما همچنین گسترش فعالیتهای مخرب خود به سایر صنایع، شناخته شده است.
پس از تجزیه و تحلیل LOBSHOT، Elastic Security Labs همپوشانی های واضحی بین زیرساخت بدافزار و زیرساخت TA505 شناسایی شده قبلی پیدا کرد. شباهت در روشهای حمله و زیرساختهای همپوشانی به این فرضیه اعتبار میدهد که TA505 مسئول توسعه و استفاده فعال از LOBSHOT است.
دسترسی مخفی VNC
یکی از نگران کننده ترین جنبه های LOBSHOT، قابلیت آن برای اعطای دسترسی پنهان به عوامل تهدید به دستگاه های قربانیان از طریق VNC است. این ویژگی خاص به مهاجمان این امکان را میدهد که از راه دور به یک دستگاه آلوده دسترسی داشته باشند، در حالی که رضایت کاربر را دور میزنند و به آنها امکان نظارت، دستکاری و استخراج دادههای حساس را بدون اطلاع کاربر میدهد. دسترسی پنهان VNC، LOBSHOT را به ابزاری قدرتمند و خطرناک در زرادخانه مجرمان سایبری، بهویژه آنهایی که انگیزههای مالی دارند، تبدیل میکند.
روش توزیع
مشاهده شده است که روش توزیع بدافزار LOBSHOT شامل تاکتیکهای فریبنده، استفاده از تبلیغات گوگل و وبسایتهای جعلی برای جذب قربانیان ناآگاه است. این تکنیکها پیچیدگی و سازگاری عوامل تهدید در پشت این بدافزار را بیشتر نشان میدهند، و احتیاط را برای کاربران نهایی در هنگام مرور و کلیک بر روی تبلیغات ضروریتر میکنند.
وب سایت های جعلی از طریق تبلیغات گوگل
یکی از راههای اصلی توزیع LOBSHOT، استفاده از وبسایتهای جعلی است که از طریق Google Ads تبلیغ میشوند. عوامل تهدید این وب سایت های تقلبی را ایجاد و نگهداری می کنند که برای تقلید از وب سایت ها و خدمات قانونی طراحی شده اند. با بهرهبرداری از پلتفرم Google Ads، دشمنان میتوانند تبلیغات مخرب خود را به کاربران ناآگاهی نشان دهند که ممکن است با این تصور که تبلیغات واقعی هستند، روی تبلیغات کلیک کنند و منجر به نصب بدافزار LOBSHOT بر روی دستگاههایشان شود.
هدایت کاربران به دامنه جعلی AnyDesk
جدا از استفاده از وبسایتهای جعلی، فرآیند توزیع بدافزار LOBSHOT شامل هدایت کاربران به یک دامنه تقلبی AnyDesk نیز میشود. AnyDesk یک برنامه محبوب دسکتاپ از راه دور است که بسیاری از مشاغل و افراد برای دسترسی و پشتیبانی از راه دور به آن تکیه می کنند. عوامل تهدید با ایجاد یک دامنه ساختگی AnyDesk برای فریب کاربران برای دانلود نسخه مخرب نرم افزار، که در واقع بدافزار LOBSHOT است، از این اعتماد استفاده کرده اند. این روش بیشتر تاکتیک های حیله گرانه ای را که توسط این مجرمان سایبری برای به دام انداختن قربانیان و اجرای فعالیت های مخرب آنها استفاده می شود، برجسته می کند.
نصب از طریق سیستم در معرض خطر
در برخی موارد، بدافزار LOBSHOT را می توان از طریق یک سیستم در معرض خطر بر روی دستگاه قربانی نصب کرد. این ممکن است در صورتی اتفاق بیفتد که کاربر به طور ناآگاهانه از وبسایتی که توسط بدافزار آلوده شده است بازدید کند یا محتوای آن را دانلود کند یا اگر هدف یک کمپین فیشینگ قرار گرفته باشد. هنگامی که بدافزار با موفقیت به دستگاه قربانی نفوذ کرد، میتواند دسترسی مخفی VNC را به عامل تهدید اعطا کند، که سپس میتواند از راه دور سیستم را به دلخواه کنترل و دستکاری کند.
قابلیت های LOBSHOT
بدافزار LOBSHOT دارای طیف وسیعی از قابلیتهای فوقالعاده است که آن را در نفوذ و بهرهبرداری از دستگاههای کاربر ماهر میکند. این بدافزار اساساً بر محاسبات شبکه مجازی پنهان (hVNC) تمرکز میکند و به مهاجمان اجازه میدهد دستگاههای آلوده را از راه دور کنترل کنند و به رابط کاربری آنها دسترسی داشته باشند. قابلیت های اصلی LOBSHOT عبارتند از:
محاسبات شبکه مجازی پنهان (hVNC)
در قلب عملکرد LOBSHOT ظرفیت آن برای ارائه دسترسی VNC مخفی به دستگاه های قربانی است. از طریق hVNC، به مهاجمان روشی مخفی برای کنترل از راه دور دستگاه بدون رضایت یا اطلاع قربانی داده می شود. ویژگی hVNC LOBSHOT را به ویژه خطرناک میکند، زیرا به بازیگران بد اجازه میدهد در حین انجام فعالیتهای شرورانه مختلف، حضور مخفیانه در دستگاههای آسیبدیده را حفظ کنند.
کنترل از راه دور دستگاه
قابلیتهای hVNC LOBSHOT به مهاجمان این امکان را میدهد که کنترل کامل دستگاههای آلوده را در دست بگیرند، دستورات را اجرا کنند، تغییراتی ایجاد کنند و به منابع دسترسی پیدا کنند که گویی کاربر قانونی هستند. این سطح از کنترل به عوامل تهدید اجازه میدهد تا طیف گستردهای از فعالیتهای مخرب از جمله استخراج دادهها، نصب بدافزارهای اضافی و انجام کمپینهای جاسوسی را انجام دهند. توانایی کنترل از راه دور دستگاه قربانی بر تهدید مهم ناشی از LOBSHOT تاکید می کند.
رابط کاربری کامل گرافیکی (GUI)
این بدافزار همچنین توانایی دسترسی به رابط گرافیکی کامل کاربر (GUI) دستگاه مورد نظر را دارد، به این معنی که مهاجم می تواند به صورت بصری با محیط دسکتاپ دستگاه تعامل داشته باشد. این ویژگی لایه دیگری از کارایی و کنترل را به بدافزار اضافه میکند و عامل تهدید را آسانتر میکند تا بتواند دستگاه در معرض خطر را هدایت و دستکاری کند. دسترسی به رابط کاربری گرافیکی کامل، مهاجم را قادر میسازد تا بر فعالیتهای کاربر نظارت داشته باشد، به اطلاعات حساس دسترسی داشته باشد و اقداماتی را که به کاربر قانونی نسبت داده میشود، انجام دهد و بر مضر بودن LOBSHOT تأکید بیشتری دارد.
کاهش و نگرانی
بدافزار LOBSHOT به دلیل قابلیتهای پنهان VNC و ارتباط با عوامل تهدید با انگیزه مالی مانند TA505، نگرانیهای قابل توجهی را برای کاربران و سازمانها ایجاد میکند. کاهش و رسیدگی به این نگرانی ها مستلزم درک خطرات بالقوه و اجرای اقدامات دفاعی مناسب و همچنین درخواست مقررات سختگیرانه در پلتفرم هایی مانند Google Ads است.
سرقت اطلاعات بانکی و مالی
یکی از نگرانی های اصلی در مورد LOBSHOT، پتانسیل آن برای سرقت اطلاعات بانکی و مالی از دستگاه های آلوده است. دسترسی مخفی VNC آن به مهاجمان اجازه می دهد تا بدون شناسایی به دستگاه ها نفوذ کنند، فعالیت های کاربر را نظارت کنند و داده های حساسی مانند اعتبار ورود، شماره حساب و جزئیات تراکنش را ضبط کنند. چنین اطلاعاتی می تواند برای منافع اقتصادی مورد سوء استفاده قرار گیرد یا در حملات بعدی مانند پر کردن اعتبار یا کمپین های فیشینگ استفاده شود.
خواستار مقررات سختگیرانه تبلیغات در Google است
در پاسخ به تهدید فزاینده توزیع بدافزار از طریق Google Ads، چندین محقق و متخصص امنیتی از آلفابت، شرکت هلدینگ گوگل، خواستار اعمال مقررات سختگیرانهتر برای تایید تبلیغات شدهاند. اجرای فرآیندهای غربالگری تبلیغات قویتر و مکانیسمهای راستیآزمایی میتواند به به حداقل رساندن انتشار بدافزارهایی مانند LOBSHOT کمک کند و خطر قربانی شدن کاربران ناآگاهانه در معرض چنین تهدیدهایی را کاهش دهد. در این بین، کاربران نهایی باید با تأیید صحت دامنه ای که بازدید می کنند و نرم افزاری که دانلود می کنند، اقدامات احتیاطی را انجام دهند.