بدافزار LOBSHOT

یک تهدید بدافزار جدید به نام LOBSHOT از طریق Google Ads توزیع می‌شود و می‌تواند دستگاه‌های ویندوز را با استفاده از hVNC آلوده کند. این بدافزار توسط محققان امنیت سایبری مشاهده شد که با تبلیغاتی که به نظر می‌رسد مربوط به نرم‌افزار مدیریت از راه دور قانونی AnyDesk باشد، تبلیغ می‌شود. با این حال، تبلیغات مخرب در عوض کاربران را به یک وب سایت جعلی هدایت می کند. این صفحه، 'amydeecke.website'، یک فایل مخرب MSI را فشار می دهد که به نوبه خود، یک فرمان PowerShell را اجرا می کند. هدف دانلود یک DLL از download-cdn[.]com است، دامنه‌ای که قبلاً با فعالیت‌های مجرمانه سایبری گروه باج‌افزار TA505/Clop مرتبط بوده است.

فایل DLL دانلود شده بدافزار LOBSHOT است و در پوشه C:\ProgramData ذخیره می‌شود، جایی که توسط RunDLL32.exe اجرا می‌شود. بر اساس گزارشی که جزئیاتی درباره LOBSHOT فاش کرد، محققان بیش از 500 نمونه LOBSHOT منحصر به فرد را از جولای 2022 مشاهده کرده اند. نمونه های شناسایی شده معمولاً به صورت DLL های 32 بیتی یا فایل های اجرایی 32 بیتی با حجمی بین 93 کیلوبایت تا 124 کیلوبایت کامپایل می شوند. LOBSHOT پس از اجرا بر روی دستگاه های نقض شده، بررسی می کند که Microsoft Defender در حال اجرا است یا خیر و در صورت شناسایی، اجرای آن را خاتمه می دهد.

مجرمان سایبری از تبلیغات گوگل برای توزیع تهدیدات بدافزار سوء استفاده می کنند

کارشناسان امنیت سایبری افزایش قابل توجهی در استفاده از تبلیغات گوگل توسط عوامل تهدید برای انتشار بدافزار از طریق نتایج جستجو مشاهده کرده‌اند. کمپین های تبلیغاتی مخرب شامل تقلید از وب سایت های مختلف و محصولات نرم افزاری قانونی مانند 7-ZIP، VLC، OBS، Notepad++، CCleaner، TradingView، Rufus و چندین برنامه دیگر بود.

علیرغم تصور مشروعیتی که توسط تبلیغات داده می شود، وب سایت هایی که آنها به آنها هدایت می شوند در واقع برای انتشار بدافزارها از جمله Gozi ، RedLine ، Vidar ، Cobalt Strike ، SectoRAT و Royal Ransomware به جای ارائه برنامه های کاربردی واقعی طراحی شده اند.

بدافزار LOBSHOT افزونه ها و کیف پول های ارزهای دیجیتال را هدف قرار می دهد

اگر LOBSHOT نشانه‌هایی از حضور Microsoft Defender پیدا نکند، برنامه‌نویسی تهدیدآمیز خود را ادامه خواهد داد. این تهدید به طور خودکار ورودی های رجیستری را پیکربندی می کند تا از راه اندازی آن در هر بوت ویندوز اطمینان حاصل کند. LOBSHOT سپس اطلاعات سیستم، از جمله تمام فرآیندهای در حال اجرا، را از دستگاه آلوده جمع آوری و ارسال می کند. علاوه بر این، این بدافزار به دنبال وجود 32 پسوند کیف پول کریپتوکارنسی کروم، 9 پسوند کیف پول Edge و 11 پسوند کیف پول فایرفاکس است.

با شناسایی این پسوندها، بدافزار فایلی را در پوشه C:\ProgramData اجرا می کند. با این حال، محققان مطمئن نیستند که آیا هدف فایل استخراج داده های برنامه افزودنی است یا برخی اقدامات مضر دیگر.

اگرچه جمع‌آوری افزونه‌های ارز دیجیتال یک هدف مشترک برای بدافزار است، بدافزار LOBSHOT همچنین دارای یک ماژول hVNC است که در ساختار خود گنجانده شده است. این ماژول عوامل تهدید را قادر می سازد تا از راه دور به طور محتاطانه به یک دستگاه آلوده دسترسی داشته باشند.

بدافزار LOBSHOT دسترسی از راه دور به دستگاه های خراب شده را فراهم می کند

امکان کنترل از راه دور کامپیوتر رومیزی ویندوز بدون اطلاع قربانی توسط ماژول hVNC (محاسبات شبکه مجازی پنهان) امکان پذیر شده است.

بدافزار معروف به LOBSHOT شامل یک ماژول hVNC است که به عوامل تهدید این امکان را می‌دهد تا با استفاده از صفحه‌کلید و ماوس، دسکتاپ مخفی را طوری دستکاری کنند که گویی به صورت فیزیکی در مقابل آن حضور دارند.

هنگامی که ماژول فعال می شود، دستگاه قربانی شروع به انتقال عکس های صفحه نمایش از دسکتاپ مخفی به یک کلاینت شنود تحت کنترل مهاجم می کند. مهاجم می‌تواند با دستکاری صفحه کلید، کلیک کردن روی دکمه‌ها و حرکت ماوس با مشتری تعامل داشته باشد و به آنها کنترل کامل از راه دور دستگاه را بدهد.

با دسترسی کامل اعطا شده توسط hVNC، عوامل تهدید می توانند فعالیت های مختلفی مانند اجرای دستورات، سرقت داده ها و استقرار بارهای بدافزار اضافی را انجام دهند.