תוכנה זדונית של LOBSHOT

נמצא כי איום תוכנה זדוני חדש בשם LOBSHOT מופץ דרך Google Ads ומסוגל להדביק מכשירי Windows באמצעות hVNC. התוכנה הזדונית נצפתה על ידי חוקרי אבטחת סייבר כשהיא מקודמת על ידי מודעות שנראה כי מיועדות לתוכנת הניהול מרחוק הלגיטימית AnyDesk. עם זאת, המודעות הזדוניות מובילות את המשתמשים לאתר מזויף. דף זה, 'amydeecke.website', דוחף קובץ MSI זדוני שבתורו מבצע פקודת PowerShell. המטרה היא להוריד DLL מ-download-cdn[.]com, תחום שהיה משויך בעבר לפעילויות פושעי הסייבר של קבוצת תוכנות הכופר TA505/Clop.

קובץ ה-DLL שהורד הוא התוכנה הזדונית LOBSHOT ונשמר בתיקייה C:\ProgramData, שם הוא מבוצע על ידי RunDLL32.exe. על פי דו"ח, שחשף פרטים על LOBSHOT, החוקרים צפו בלמעלה מ-500 דגימות LOBSHOT ייחודיות מאז יולי 2022. הדגימות שזוהו מורכבות בדרך כלל כקובצי DLL של 32 סיביות או כקובצי הפעלה של 32 סיביות הנעים בין 93 KB ל-124 KB. לאחר ביצוע במכשירים שנפרצו, LOBSHOT בודק אם Microsoft Defender פועל ומפסיק את הביצוע שלו אם זוהה.

פושעי סייבר מנצלים את Google Ads כדי להפיץ איומים על תוכנות זדוניות

מומחי אבטחת סייבר הבחינו בעלייה משמעותית בשימוש במודעות גוגל על ידי גורמי איומים להפצת תוכנות זדוניות באמצעות תוצאות חיפוש. מסעות הפרסום הזדוניים כללו חיקוי של אתרים שונים ומוצרי תוכנה לגיטימיים, כמו 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ועוד מספר אפליקציות.

למרות הרושם של לגיטימציה שנותנת המודעות, האתרים שאליהם הם מפנים נועדו למעשה להפיץ תוכנות זדוניות, כולל Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT ו- Royal Ransomware במקום לספק יישומים מקוריים.

תוכנת זדונית LOBSHOT מכוונת להרחבות וארנקים של מטבעות קריפטו

אם LOBSHOT לא תמצא סימנים לנוכחות של Microsoft Defender, היא תמשיך בתכנות המאיים שלה. האיום יגדיר באופן אוטומטי את ערכי הרישום כדי להבטיח את ההפעלה שלו בכל אתחול של Windows. לאחר מכן, LOBSHOT תאסוף ותתחיל לשדר מידע מערכת, כולל כל התהליכים הפועלים, מהמכשיר הנגוע. בנוסף, התוכנה הזדונית מחפשת נוכחות של 32 הרחבות לארנק מטבעות קריפטוגרפיים של Chrome, תשע הרחבות לארנק Edge ו-11 הרחבות לארנק Firefox.

לאחר זיהוי ההרחבות הללו, התוכנה הזדונית מפעילה קובץ בתיקיית C:\ProgramData. עם זאת, החוקרים אינם בטוחים אם מטרת הקובץ היא לחלץ נתוני סיומת או פעולה מזיקה אחרת.

למרות שאיסוף תוספי מטבעות קריפטוגרפיים היא מטרה נפוצה עבור תוכנות זדוניות, לתוכנה זדונית LOBSHOT יש גם מודול hVNC המשולב במבנה שלו. מודול זה מאפשר לשחקני איומים לגשת למכשיר נגוע מרחוק באופן דיסקרטי.

תוכנת LOBSHOT זדונית מספקת גישה מרחוק למכשירים שנפרצו

היכולת לשלוט מרחוק במחשב שולחני של Windows ללא ידיעת הקורבן מתאפשרת על ידי מודול hVNC (מחשוב רשת וירטואלית נסתרת).

התוכנה הזדונית המכונה LOBSHOT כוללת מודול hVNC, המאפשר לשחקני האיום לתפעל את שולחן העבודה הנסתר כאילו היו נוכחים פיזית מולו, באמצעות המקלדת והעכבר שלהם.

לאחר הפעלת המודול, המכונה של הקורבן מתחילה לשדר צילומי מסך של שולחן העבודה הנסתר ללקוח מאזין שנשלט על ידי התוקף. התוקף יכול ליצור אינטראקציה עם הלקוח על ידי מניפולציה של המקלדת, לחיצה על כפתורים והזזת העכבר, מה שמעניק להם שליטה מרחוק מלאה על המכשיר.

עם גישה מלאה המוענקת על ידי hVNC, שחקני האיום יכולים לבצע פעילויות שונות, כגון ביצוע פקודות, גניבת נתונים ופריסה של מטענים נוספים של תוכנות זדוניות.