लॉबशॉट मालवेयर
LOBSHOT नामक एक नया मैलवेयर खतरा Google विज्ञापनों के माध्यम से वितरित पाया गया है और hVNC का उपयोग करके Windows उपकरणों को संक्रमित करने में सक्षम है। वैध AnyDesk दूरस्थ प्रबंधन सॉफ़्टवेयर के लिए दिखाई देने वाले विज्ञापनों द्वारा प्रचारित किए जा रहे साइबर सुरक्षा शोधकर्ताओं द्वारा मैलवेयर देखा गया था। हालाँकि, दुर्भावनापूर्ण विज्ञापन इसके बजाय उपयोगकर्ताओं को एक नकली वेबसाइट पर ले जाते हैं। यह पृष्ठ, 'amydeecke.website,' एक दुर्भावनापूर्ण MSI फ़ाइल को आगे बढ़ाता है, जो बदले में, PowerShell कमांड को निष्पादित करता है। लक्ष्य डाउनलोड-सीडीएन [।] कॉम से एक डीएलएल डाउनलोड करना है, एक ऐसा डोमेन जो पहले TA505/Clop रैनसमवेयर समूह की साइबर आपराधिक गतिविधियों से जुड़ा रहा है।
डाउनलोड की गई DLL फ़ाइल LOBSHOT मालवेयर है और इसे C:\ProgramData फ़ोल्डर में सहेजा जाता है, जहाँ इसे RunDLL32.exe द्वारा निष्पादित किया जाता है। LOBSHOT के बारे में विवरण प्रकट करने वाली एक रिपोर्ट के अनुसार, शोधकर्ताओं ने जुलाई 2022 से 500 से अधिक अद्वितीय LOBSHOT नमूनों का अवलोकन किया है। पहचाने गए नमूनों को आमतौर पर 32-बिट DLL या 32-बिट निष्पादनयोग्य के रूप में संकलित किया जाता है, जो 93 KB से 124 KB के बीच होता है। एक बार उल्लंघन किए गए उपकरणों पर निष्पादित होने के बाद, LOBSHOT जाँच करता है कि क्या Microsoft डिफेंडर चल रहा है और पता चलने पर इसका निष्पादन समाप्त कर देता है।
विषयसूची
साइबर अपराधी मैलवेयर के खतरों को बांटने के लिए Google विज्ञापनों का फायदा उठाते हैं
साइबर सुरक्षा विशेषज्ञों ने खोज परिणामों के माध्यम से मैलवेयर फैलाने के लिए खतरे वाले अभिनेताओं द्वारा Google विज्ञापनों के उपयोग में पर्याप्त वृद्धि देखी है। दुर्भावनापूर्ण विज्ञापन अभियानों में विभिन्न वेबसाइटों और वैध सॉफ़्टवेयर उत्पादों, जैसे 7-ज़िप, वीएलसी, ओबीएस, नोटपैड ++, सीसीलेनर, ट्रेडिंग व्यू, रूफस और कई अन्य अनुप्रयोगों की नकल शामिल थी।
विज्ञापनों द्वारा दी गई वैधता की छाप के बावजूद, जिन वेबसाइटों पर वे रीडायरेक्ट करते हैं, वे वास्तव में वास्तविक एप्लिकेशन प्रदान करने के बजाय Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT, और Royal Ransomware सहित मैलवेयर फैलाने के लिए डिज़ाइन की गई हैं।
LOBSHOT मैलवेयर क्रिप्टोक्यूरेंसी एक्सटेंशन और वॉलेट को लक्षित करता है
यदि LOBSHOT को Microsoft डिफेंडर की उपस्थिति के संकेत नहीं मिलते हैं, तो यह अपनी खतरनाक प्रोग्रामिंग के साथ आगे बढ़ेगा। यह खतरा हर विंडोज बूट पर अपने स्टार्टअप को सुनिश्चित करने के लिए रजिस्ट्री प्रविष्टियों को स्वचालित रूप से कॉन्फ़िगर करेगा। LOBSHOT तब संक्रमित डिवाइस से सभी चल रही प्रक्रियाओं सहित सिस्टम की जानकारी एकत्र और प्रसारित करना शुरू कर देगा। इसके अतिरिक्त, मैलवेयर 32 क्रोम क्रिप्टोक्यूरेंसी वॉलेट एक्सटेंशन, नौ एज वॉलेट एक्सटेंशन और 11 फ़ायरफ़ॉक्स वॉलेट एक्सटेंशन की उपस्थिति की तलाश करता है।
इन एक्सटेंशन का पता लगाने पर, मैलवेयर C:\ProgramData फ़ोल्डर में एक फ़ाइल निष्पादित करता है। हालांकि, शोधकर्ता अनिश्चित हैं कि क्या फ़ाइल का उद्देश्य एक्सटेंशन डेटा निकालना है या कोई अन्य हानिकारक क्रिया है।
यद्यपि क्रिप्टोक्यूरेंसी एक्सटेंशन एकत्र करना मैलवेयर के लिए एक सामान्य लक्ष्य है, LOBSHOT मैलवेयर में इसकी संरचना में शामिल एक hVNC मॉड्यूल भी है। यह मॉड्यूल खतरे के अभिनेताओं को एक संक्रमित डिवाइस को दूर से विवेकपूर्ण तरीके से एक्सेस करने में सक्षम बनाता है।
LOBSHOT मालवेयर ब्रीच्ड डिवाइसेस को रिमोट एक्सेस प्रदान करता है
पीड़ित के ज्ञान के बिना विंडोज डेस्कटॉप कंप्यूटर को दूरस्थ रूप से नियंत्रित करने की क्षमता hVNC (हिडन वर्चुअल नेटवर्क कंप्यूटिंग) मॉड्यूल द्वारा संभव बनाई गई है।
LOBSHOT के रूप में जाने जाने वाले मैलवेयर में एक hVNC मॉड्यूल शामिल है, जो खतरे के अभिनेताओं को छिपे हुए डेस्कटॉप में हेरफेर करने में सक्षम बनाता है जैसे कि वे अपने कीबोर्ड और माउस का उपयोग करके भौतिक रूप से इसके सामने मौजूद थे।
एक बार मॉड्यूल सक्रिय हो जाने के बाद, पीड़ित की मशीन छिपे हुए डेस्कटॉप के स्क्रीन कैप्चर को हमलावर द्वारा नियंत्रित सुनने वाले क्लाइंट को प्रसारित करना शुरू कर देती है। हमलावर क्लाइंट के साथ कीबोर्ड में हेरफेर करके, बटन क्लिक करके और माउस को हिलाकर, उन्हें डिवाइस का पूरा रिमोट कंट्रोल देकर बातचीत कर सकता है।
एचवीएनसी द्वारा दी गई पूर्ण पहुंच के साथ, खतरे के कारक विभिन्न गतिविधियों को अंजाम दे सकते हैं, जैसे कि कमांड निष्पादित करना, डेटा चोरी करना और अतिरिक्त मैलवेयर पेलोड तैनात करना।
