LOBSHOT Haittaohjelma löydetty Malvertising Investigationin kautta

Elastic Security Labsin tutkijat ovat äskettäin löytäneet uuden haittaohjelman nimeltä LOBSHOT tutkiessaan perusteellisesti haitallisten kampanjoiden lisääntymistä. LOBSHOT on erityisen kiinnostava, koska se antaa uhkatoimijoille piilotetun VNC:n (Virtual Network Computing) pääsyn tartunnan saaneisiin laitteisiin. Tutkijat löysivät myös yhteyksiä haittaohjelman ja TA505:n välillä, taloudellisesti motivoituneen kyberrikollisryhmän, joka tunnetaan erilaisten kiristysohjelmien ja pankkitroijalaisten käyttöönotosta.

Haitallisten kampanjoiden piikki

Haitallisten kampanjoiden määrä on kasvanut, ja niiden salaperäinen luonne tekee käyttäjien vaikeaksi erottaa lailliset ja haitalliset mainokset. Tietoturvatutkijat ovat havainneet, että tämä nousu saattaa johtua uhkatoimijoista, jotka myyvät haittamainontaa palveluna, mikä korostaa entisestään valppauden tärkeyttä verkkomainosten kanssa vuorovaikutuksessa.

Elastic Security Labs havaitsi koko tutkimuksensa aikana huomattavan piikin haitallisissa kampanjoissa, joissa hyödynnettiin hyväksikäyttöpakkauksia kohdistaakseen tiettyihin haavoittuvuuksiin laajalti käytetyissä sovelluksissa. Näitä kampanjoita on havaittu yhä useammin useilla suosituilla verkkosivustoilla, ja ne ovat altistaneet miljoonat käyttäjät mahdollisille uhille. Tyypillisesti näiden verkkosivustojen vierailijat kohtaavat haitallisia mainoksia, joita napsautettuna ohjataan hyväksikäyttöpaketin aloitussivulle, jonka LOBSHOT lopulta suorittaa käyttäjän laitteessa.

TA505 Infrastruktuuri

TA505 , kyberrikollisryhmä, jonka epäillään olevan LOBSHOTin kehittämisen ja käyttöönoton takana, on pitkään tunnustettu laajasta haitallisesta toiminnasta. Tämä ryhmä tunnetaan hyvin organisoiduista ja monipuolisista hyökkäyskampanjoistaan, jotka keskittyvät erityisesti rahoituslaitoksiin niiden ensisijaisina kohteina, mutta myös laajentavat niiden haitallisia toimia muille toimialoille.

LOBSHOT-analyysin jälkeen Elastic Security Labs löysi selviä päällekkäisyyksiä haittaohjelman infrastruktuurin ja aiemmin tunnistetun TA505-infrastruktuurin välillä. Hyökkäysmenetelmien samankaltaisuus ja päällekkäinen infrastruktuuri antavat uskoa olettamukselle, että TA505 on vastuussa LOBSHOTin kehittämisestä ja aktiivisesta käytöstä.

Piilotettu VNC-käyttö

Yksi LOBSHOTin huolestuttavimmista näkökohdista on sen kyky antaa uhkatekijöille piilotettu pääsy uhrien laitteisiin VNC:n kautta. Tämän ominaisuuden avulla hyökkääjät voivat päästä etäkäyttöön tartunnan saaneelle laitteelle ohittaen samalla käyttäjän suostumuksen, jolloin he voivat tarkkailla, käsitellä ja suodattaa arkaluontoisia tietoja käyttäjän tietämättä. Piilotettu VNC-pääsy tekee LOBSHOTista tehokkaan ja vaarallisen työkalun verkkorikollisten arsenaalissa, erityisesti taloudellisista syistä kärsivien.

Jakelumenetelmä

LOBSHOT-haittaohjelmien jakelumenetelmän on havaittu sisältävän petollisia taktiikoita, Google Adsin ja väärennettyjen verkkosivustojen hyödyntämistä hyväuskoisten uhrien houkuttelemiseksi. Nämä tekniikat osoittavat entisestään tämän haittaohjelman takana olevien uhkatekijöiden kehittyneisyyden ja sopeutumiskyvyn, minkä vuoksi loppukäyttäjien on vieläkin kriittisempi olla varovainen selatessaan ja napsauttaessaan mainoksia.

Väärennetyt verkkosivustot Google Adsin kautta

Yksi LOBSHOTin tärkeimmistä jakelutavoista on Google Adsin kautta mainostettujen väärennettyjen verkkosivustojen käyttö. Uhkatoimijat luovat ja ylläpitävät näitä väärennettyjä verkkosivustoja, jotka on suunniteltu jäljittelemään laillisia verkkosivustoja ja palveluita. Hyödyntämällä Google Ads -alustaa, vastustajat voivat näyttää haitallisia mainoksiaan pahaa aavistamattomille käyttäjille, jotka voivat napsauttaa mainoksia vaikutelmana, että ne ovat aitoja, mikä johtaa LOBSHOT-haittaohjelman asennukseen heidän laitteilleen.

Käyttäjien uudelleenohjaus väärennetylle AnyDesk-verkkotunnukselle

Väärennettyjen verkkosivustojen käytön lisäksi LOBSHOT-haittaohjelmien jakeluprosessiin kuuluu myös käyttäjien uudelleenohjaus väärennetylle AnyDesk-verkkotunnukselle. AnyDesk on suosittu etätyöpöytäsovellus, johon monet yritykset ja yksityishenkilöt luottavat etäkäytössä ja tuessa. Uhkatoimijat ovat hyödyntäneet tätä luottamusta luomalla kuvitteellisen AnyDesk-verkkotunnuksen huijatakseen käyttäjiä lataamaan ohjelmiston haitallisen version, joka on itse asiassa LOBSHOT-haittaohjelma. Tämä menetelmä korostaa entisestään näiden kyberrikollisten käyttämiä ovelia taktiikoita uhrien ansaan ansaitsemiseksi ja heidän haitallisten toimiensa toteuttamiseksi.

Asennus vaarantuneen järjestelmän kautta

Joissakin tapauksissa LOBSHOT-haittaohjelma voidaan asentaa uhrin laitteelle vaarantuneen järjestelmän kautta. Näin voi tapahtua, jos käyttäjä vierailee tai lataa sisältöä tietämättään haittaohjelman saastuttamasta verkkosivustosta tai jos hänestä on tullut keihäs-phishing-kampanjan kohde. Kun haittaohjelma on onnistuneesti tunkeutunut uhrin laitteelle, se voi myöntää piilotetun VNC-pääsyn uhkatekijälle, joka voi sitten etäohjata ja manipuloida järjestelmää haluamallaan tavalla.

LOBSHOTin ominaisuudet

LOBSHOT-haittaohjelmassa on useita mahtavia ominaisuuksia, jotka tekevät siitä taitavan tunkeutua käyttäjien laitteisiin ja hyödyntää niitä. Haittaohjelma keskittyy ensisijaisesti piilotettuun virtuaaliverkkolaskentaan (hVNC), jonka avulla hyökkääjät voivat etäohjata tartunnan saaneita laitteita ja käyttää niiden käyttöliittymää. LOBSHOTin ydinominaisuuksiin kuuluvat:

Hidden Virtual Network Computing (hVNC)

LOBSHOTin toiminnallisuuden ydin on sen kyky tarjota piilotettu VNC-pääsy uhrilaitteisiin. HVNC:n kautta hyökkääjille tarjotaan peitelty menetelmä kauko-ohjata laitetta ilman uhrin suostumusta tai tietoa. hVNC-ominaisuus tekee LOBSHOTista erityisen vaarallisen, koska sen avulla huonot näyttelijät voivat pysyä piilossa vaarallisissa laitteissa suorittaessaan erilaisia ilkeitä toimintoja.

Laitteen kaukosäädin

LOBSHOTin hVNC-ominaisuudet antavat hyökkääjille mahdollisuuden ottaa tartunnan saaneet laitteet täysin hallintaansa, suorittaa komentoja, tehdä muutoksia ja käyttää resursseja ikään kuin he olisivat laillisia käyttäjiä. Tämän tason hallinnan ansiosta uhkatekijät voivat suorittaa monenlaisia haitallisia toimia, mukaan lukien tietojen suodattaminen, lisähaittaohjelmien asentaminen ja vakoilukampanjoiden suorittaminen. Mahdollisuus kauko-ohjata uhrin laitetta korostaa LOBSHOTin aiheuttamaa merkittävää uhkaa.

Täysi graafinen käyttöliittymä (GUI)

Haittaohjelmalla on myös mahdollisuus käyttää kohdelaitteen täyttä graafista käyttöliittymää (GUI), mikä tarkoittaa, että hyökkääjä voi olla visuaalisessa vuorovaikutuksessa laitteen työpöytäympäristön kanssa. Tämä ominaisuus lisää haittaohjelman tehokkuutta ja hallintaa helpottamalla uhkatekijän navigointia ja manipulointia vaarantuneen laitteen kanssa. Pääsy koko graafiseen käyttöliittymään antaa hyökkääjälle mahdollisuuden seurata käyttäjien toimintaa, päästä käsiksi arkaluontoisiin tietoihin ja suorittaa toimintoja, jotka on lueteltu lailliselle käyttäjälle, mikä korostaa entisestään LOBSHOTin haitallisuutta.

Lieventäminen ja huolenaiheet

LOBSHOT-haittaohjelmat aiheuttavat merkittäviä huolenaiheita sekä yksittäisille käyttäjille että organisaatioille piilotettujen VNC-ominaisuuksiensa ja taloudellisesti motivoituneiden uhkatoimijoiden, kuten TA505:n, kanssa. Näiden huolenaiheiden lieventäminen ja ratkaiseminen edellyttää mahdollisten riskien ymmärtämistä ja asianmukaisten suojatoimenpiteiden toteuttamista sekä tiukempien säädösten vaatimista alustoille, kuten Google Ads.

Pankki- ja taloustietojen varastaminen

Yksi LOBSHOTin tärkeimmistä huolenaiheista on sen mahdollisuus varastaa pankki- ja taloustietoja tartunnan saaneilta laitteilta. Sen piilotetun VNC-käytön ansiosta hyökkääjät voivat tunkeutua laitteisiin huomaamatta, seurata käyttäjien toimintaa ja kaapata arkaluontoisia tietoja, kuten kirjautumistietoja, tilinumeroita ja tapahtumatietoja. Tällaisia tietoja voidaan hyödyntää taloudellisen hyödyn saamiseksi tai käyttää myöhemmissä hyökkäyksissä, kuten tunnistetietojen täyttämisessä tai tietojenkalastelukampanjoissa.

Vaatii tiukempia mainossäännöksiä Googlessa

Vastauksena Google Adsin kautta leviävän haittaohjelmien kasvavaan uhkaan, useat tutkijat ja tietoturva-ammattilaiset ovat vaatineet Googlen holdingyhtiötä Alphabetia asettamaan tiukempia sääntöjä mainosten hyväksymiselle. Vahvempien mainosten seulontaprosessien ja varmennusmekanismien käyttöönotto voi auttaa minimoimaan LOBSHOTin kaltaisten haittaohjelmien leviämisen ja vähentämään riskiä, että hyväuskoiset käyttäjät joutuvat tällaisten uhkien uhreiksi. Sillä välin loppukäyttäjien tulee ryhtyä varotoimiin tarkistamalla vierailemansa verkkotunnuksen ja lataamansa ohjelmiston laillisuus.