LOBSHOT Zlonamjerni softver otkriven istragom zlonamjernog oglašavanja
Istraživači Elastic Security Labsa nedavno su otkrili novi zlonamjerni softver nazvan LOBSHOT tijekom svoje temeljite istrage porasta zlonamjernih kampanja. LOBSHOT je od posebnog interesa jer akterima prijetnji omogućuje skriveni VNC (Virtual Network Computing) pristup zaraženim uređajima. Istraživači su također pronašli veze između zlonamjernog softvera i TA505, financijski motivirane kibernetičke kriminalne skupine poznate po postavljanju raznih ransomwarea i bankarskih trojanaca .
Sadržaj
Nagli porast zlonamjernih kampanja
Kampanje zlonamjernog oglašavanja sve su veće, a njihova skrivena priroda otežava korisnicima razlikovanje legitimnih od zlonamjernih oglasa. Sigurnosni istraživači primijetili su da se ovaj porast može pripisati akterima prijetnji koji prodaju zlonamjerno oglašavanje kao uslugu, dodatno naglašavajući važnost opreza pri interakciji s online oglasima.
Tijekom svog istraživanja, Elastic Security Labs primijetio je značajan skok u kampanjama zlonamjernog oglašavanja koje koriste setove za iskorištavanje za ciljanje specifičnih ranjivosti u široko korištenim aplikacijama. Ove su kampanje sve više uočene na nekoliko popularnih web stranica, izlažući milijune korisnika potencijalnim prijetnjama. Obično se posjetitelji ovih web-mjesta susreću sa zlonamjernim oglasima koji, kada kliknu, preusmjeravaju na odredišnu stranicu paketa eksploatacije gdje se LOBSHOT na kraju izvršava na uređaju korisnika.
TA505 Infrastruktura
TA505 , kibernetička kriminalna skupina za koju se sumnja da stoji iza razvoja i implementacije LOBSHOT-a, odavno je poznata po svojim širokim rasponom zlonamjernih aktivnosti. Ova je grupa poznata po svom dobro organiziranom i raznolikom rasponu kampanja napada, posebno se fokusirajući na financijske institucije kao svoje primarne mete, ali također proširujući svoje zlonamjerne aktivnosti na druge industrije.
Nakon analize LOBSHOT-a, Elastic Security Labs otkrio je jasna preklapanja između infrastrukture zlonamjernog softvera i prethodno identificirane infrastrukture TA505. Sličnost u metodologijama napada i infrastruktura koja se preklapa daje vjerodostojnost hipotezi da je TA505 odgovoran za razvoj i aktivnu upotrebu LOBSHOT-a.
Skriveni VNC pristup
Jedan od aspekata LOBSHOT-a koji najviše zabrinjava je njegova sposobnost da akterima prijetnji omogući skriveni pristup uređajima žrtava putem VNC-a. Ova specifična značajka omogućuje napadačima daljinski pristup zaraženom uređaju uz zaobilaženje pristanka korisnika, pružajući im mogućnost praćenja, manipuliranja i eksfiltracije osjetljivih podataka bez znanja korisnika. Skriveni VNC pristup čini LOBSHOT moćnim i opasnim alatom u arsenalu kibernetičkih kriminalaca, posebno onih s financijskim motivima.
Metoda distribucije
Uočeno je da metoda distribucije zlonamjernog softvera LOBSHOT uključuje prijevarne taktike, korištenje Google Adsa i lažnih web-mjesta kako bi se namamile žrtve koje ništa ne sumnjaju. Ove tehnike dodatno pokazuju sofisticiranost i prilagodljivost aktera prijetnji koji stoje iza ovog zlonamjernog softvera, zbog čega je krajnjim korisnicima još važnije da budu oprezni prilikom pregledavanja i klikanja na oglase.
Lažne web stranice putem Google Adsa
Jedan od primarnih načina na koji se LOBSHOT distribuira je korištenje lažnih web stranica promoviranih putem Google Adsa. Akteri prijetnji stvaraju i održavaju ta krivotvorena web-mjesta koja su dizajnirana da oponašaju legitimna web-mjesta i usluge. Iskorištavanjem Google Ads platforme, protivnici mogu prikazati svoje zlonamjerne oglase korisnicima koji ništa ne sumnjaju i koji mogu kliknuti na oglase pod dojmom da su originalni, što dovodi do instalacije zlonamjernog softvera LOBSHOT na njihovim uređajima.
Preusmjeravanje korisnika na lažnu AnyDesk domenu
Osim korištenja lažnih web stranica, proces distribucije zlonamjernog softvera LOBSHOT također uključuje preusmjeravanje korisnika na krivotvorenu AnyDesk domenu. AnyDesk je popularna aplikacija za udaljenu radnu površinu na koju se mnoge tvrtke i pojedinci oslanjaju za daljinski pristup i podršku. Akteri prijetnje iskoristili su ovo povjerenje stvaranjem fiktivne domene AnyDesk kako bi prevarili korisnike da preuzmu zlonamjernu verziju softvera, što je zapravo LOBSHOT malware. Ova metoda dodatno naglašava lukavu taktiku kojom se ti kibernetički kriminalci koriste kako bi uhvatili žrtve u zamku i izvršili svoje zlonamjerne aktivnosti.
Instalacija putem ugroženog sustava
U nekim slučajevima, zlonamjerni softver LOBSHOT može se instalirati na žrtvin uređaj putem kompromitiranog sustava. To se može dogoditi ako korisnik nesvjesno posjeti ili preuzme sadržaj s web stranice koja je zaražena zlonamjernim softverom ili ako je postao meta spear-phishing kampanje. Nakon što se zlonamjerni softver uspješno infiltrirao u žrtvin uređaj, može dopustiti pristup skrivenom VNC-u akteru prijetnje, koji potom može daljinski kontrolirati i manipulirati sustavom po želji.
Mogućnosti LOBSHOT-a
Zlonamjerni softver LOBSHOT može se pohvaliti nizom nevjerojatnih mogućnosti koje ga čine vještim u infiltraciji i iskorištavanju korisničkih uređaja. Malware se primarno fokusira na skriveno virtualno mrežno računalstvo (hVNC), dopuštajući napadačima daljinsko upravljanje zaraženim uređajima i pristup njihovom korisničkom sučelju. Osnovne mogućnosti LOBSHOT-a uključuju:
Računalstvo skrivene virtualne mreže (hVNC)
Srž funkcionalnosti LOBSHOT-a je njegova sposobnost pružanja skrivenog VNC pristupa žrtvama uređaja. Preko hVNC-a, napadačima je omogućena tajna metoda daljinskog upravljanja uređajem bez pristanka ili znanja žrtve. Značajka hVNC čini LOBSHOT posebno opasnim jer omogućuje lošim akterima da zadrže tajnu prisutnost na kompromitiranim uređajima dok provode razne opake aktivnosti.
Daljinsko upravljanje uređajem
Mogućnosti hVNC-a LOBSHOT-a omogućuju napadačima da preuzmu potpunu kontrolu nad zaraženim uređajima, izvršavaju naredbe, čine promjene i pristupaju resursima kao da su legitimni korisnici. Ova razina kontrole omogućuje akterima prijetnji izvođenje širokog spektra zlonamjernih aktivnosti, uključujući ekstrakciju podataka, instaliranje dodatnog zlonamjernog softvera i provođenje špijunskih kampanja. Mogućnost daljinskog upravljanja žrtvinim uređajem naglašava značajnu prijetnju koju predstavlja LOBSHOT.
Potpuno grafičko korisničko sučelje (GUI)
Zlonamjerni softver također ima mogućnost pristupa potpunom grafičkom korisničkom sučelju (GUI) ciljanog uređaja, što znači da napadač može vizualno komunicirati s okruženjem radne površine uređaja. Ova značajka dodaje još jedan sloj učinkovitosti i kontrole zlonamjernom softveru olakšavajući akteru prijetnje navigaciju i manipuliranje kompromitiranim uređajem. Pristup potpunom GUI-ju omogućuje napadaču praćenje aktivnosti korisnika, pristup osjetljivim informacijama i izvođenje radnji pripisanih legitimnom korisniku, dodatno naglašavajući pogubnost LOBSHOT-a.
Ublažavanje i zabrinutost
Zlonamjerni softver LOBSHOT predstavlja značajnu zabrinutost kako za pojedinačne korisnike tako i za organizacije, zahvaljujući svojim skrivenim VNC mogućnostima i povezanosti s financijski motiviranim akterima prijetnji kao što je TA505. Ublažavanje i rješavanje ovih problema uključuje razumijevanje potencijalnih rizika i provedbu odgovarajućih obrambenih mjera, kao i pozivanje na strože propise na platformama kao što je Google Ads.
Krađa bankovnih i financijskih podataka
Jedna od primarnih briga oko LOBSHOT-a je njegova mogućnost krađe bankovnih i financijskih podataka sa zaraženih uređaja. Njegov skriveni VNC pristup omogućuje napadačima da se neotkriveno infiltriraju u uređaje, prate aktivnosti korisnika i zarobe osjetljive podatke kao što su vjerodajnice za prijavu, brojevi računa i detalji transakcije. Takve informacije mogu se iskoristiti za ekonomsku dobit ili upotrijebiti u daljnjim napadima, kao što su namještanje vjerodajnica ili phishing kampanja.
Poziva na strožu regulaciju oglasa na Googleu
Kao odgovor na sve veću prijetnju distribucije zlonamjernog softvera putem Google Adsa, nekoliko istraživača i stručnjaka za sigurnost pozvalo je Alphabet, Googleovo holding društvo, da uvede strože propise o odobravanju oglasa. Implementacija robusnijih procesa pregledavanja oglasa i mehanizama verifikacije može pomoći smanjiti širenje zlonamjernog softvera kao što je LOBSHOT i smanjiti rizik da korisnici koji ništa ne sumnjaju postanu žrtve takvih prijetnji. U međuvremenu, krajnji korisnici trebali bi poduzeti mjere opreza provjerom legitimnosti domene koju posjećuju i softvera koji preuzimaju.