LOBSHOT Haittaohjelma
Uuden LOBSHOT-nimisen haittaohjelmauhan on havaittu leviävän Google Adsin kautta, ja se pystyy saastuttamaan Windows-laitteet hVNC:n avulla. Kyberturvallisuustutkijat havaitsivat haittaohjelman mainoksilla, jotka näyttävät olevan laillista AnyDesk-etähallintaohjelmistoa. Haitalliset mainokset kuitenkin johtavat käyttäjät väärennetylle verkkosivustolle. Tämä sivu, "amydeecke.website", työntää haitallisen MSI-tiedoston, joka puolestaan suorittaa PowerShell-komennon. Tavoitteena on ladata DLL osoitteesta download-cdn[.]com, verkkotunnus, joka on aiemmin liitetty TA505/Clop ransomware -ryhmän kyberrikollisiin toimiin.
Ladattu DLL-tiedosto on LOBSHOT-haittaohjelma, ja se tallennetaan C:\ProgramData-kansioon, jossa RunDLL32.exe suorittaa sen. LOBSHOTista yksityiskohtia paljastaneen raportin mukaan tutkijat ovat havainneet yli 500 ainutlaatuista LOBSHOT-näytettä heinäkuusta 2022 lähtien. Tunnistetut näytteet on tyypillisesti koottu 32-bittisiksi DLL-tiedostoiksi tai 32-bittisiksi suoritettaviksi tiedostoiksi, joiden koko vaihtelee 93-124 kt. Kun LOBSHOT on suoritettu rikkoutuneilla laitteilla, se tarkistaa, onko Microsoft Defender käynnissä, ja lopettaa suorituksen, jos se havaitaan.
Sisällysluettelo
Kyberrikolliset hyödyntävät Google-mainoksia haittaohjelmauhkien levittämiseen
Kyberturvallisuusasiantuntijat ovat havainneet, että uhkatoimijat käyttävät Google-mainoksia huomattavasti levittääkseen haittaohjelmia hakutulosten kautta. Haitallisissa mainoskampanjoissa jäljiteltiin erilaisia verkkosivustoja ja laillisia ohjelmistotuotteita, kuten 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ja useita muita sovelluksia.
Huolimatta mainosten antamasta vaikutelmasta laillisuudesta, sivustot, joille ne uudelleenohjaavat, on itse asiassa suunniteltu levittämään haittaohjelmia, mukaan lukien Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT ja Royal Ransomware , sen sijaan, että ne tarjoaisivat aitoja sovelluksia.
LOBSHOT-haittaohjelmat kohdistuvat kryptovaluuttalaajennuksiin ja lompakoihin
Jos LOBSHOT ei löydä merkkejä Microsoft Defenderin läsnäolosta, se jatkaa uhkaavaa ohjelmointiaan. Uhka määrittää automaattisesti rekisterimerkinnät varmistaakseen sen käynnistymisen jokaisen Windowsin käynnistyksen yhteydessä. LOBSHOT kerää sitten ja alkaa lähettää järjestelmätietoja, mukaan lukien kaikki käynnissä olevat prosessit, tartunnan saaneesta laitteesta. Lisäksi haittaohjelma etsii 32 Chromen kryptovaluuttalompakkolaajennusta, yhdeksää Edge-lompakkolaajennusta ja 11 Firefox-lompakkolaajennusta.
Havaittuaan nämä laajennukset haittaohjelma suorittaa tiedoston C:\ProgramData-kansiossa. Tutkijat ovat kuitenkin epävarmoja, onko tiedoston tarkoitus poimia laajennustietoja vai jokin muu haitallinen toiminta.
Vaikka kryptovaluuttalaajennusten kerääminen on yleinen tavoite haittaohjelmille, LOBSHOT-haittaohjelmassa on myös hVNC-moduuli sisällytettynä sen rakenteeseen. Tämä moduuli mahdollistaa uhkatekijöiden pääsyn tartunnan saaneeseen laitteeseen etänä huomaamattomasti.
LOBSHOT-haittaohjelma tarjoaa etäkäytön rikottuihin laitteisiin
Windows-pöytätietokoneen etäohjauksen uhrin tietämättä tekee mahdolliseksi hVNC (hidden virtual network computing) -moduuli.
LOBSHOT-niminen haittaohjelma sisältää hVNC-moduulin, jonka avulla uhkatekijät voivat käsitellä piilotettua työpöytää ikään kuin he olisivat fyysisesti sen edessä näppäimistön ja hiiren avulla.
Kun moduuli on aktivoitu, uhrin kone alkaa lähettää piilotetun työpöydän kuvakaappauksia hyökkääjän hallitsemalle kuuntelevalle asiakkaalle. Hyökkääjä voi olla vuorovaikutuksessa asiakkaan kanssa manipuloimalla näppäimistöä, napsauttamalla painikkeita ja liikuttamalla hiirtä, jolloin hän voi hallita laitetta täydellisesti.
hVNC:n täydellä käyttöoikeudella uhkatekijät voivat suorittaa erilaisia toimintoja, kuten suorittaa komentoja, varastaa tietoja ja ottaa käyttöön ylimääräisiä haittaohjelmia.
