LOBSHOT Zlonamjerni softver
Otkriveno je da se nova prijetnja zlonamjernim softverom pod nazivom LOBSHOT distribuira putem Google Adsa i može zaraziti Windows uređaje pomoću hVNC-a. Zlonamjerni softver uočili su istraživači kibernetičke sigurnosti kako se promovira reklamama za koje se čini da su za legitiman softver za daljinsko upravljanje AnyDesk. Međutim, zlonamjerni oglasi umjesto toga vode korisnike na lažnu web stranicu. Ova stranica, 'amydeecke.website,' gura zlonamjernu MSI datoteku koja zauzvrat izvršava PowerShell naredbu. Cilj je preuzeti DLL s download-cdn[.]com, domene koja je prethodno bila povezana s aktivnostima kibernetičke kriminalne grupe TA505/Clop ransomware grupe.
Preuzeta DLL datoteka je zlonamjerni softver LOBSHOT i sprema se u mapu C:\ProgramData, gdje je izvršava RunDLL32.exe. Prema izvješću koje je otkrilo pojedinosti o LOBSHOT-u, istraživači su promatrali više od 500 jedinstvenih LOBSHOT uzoraka od srpnja 2022. Identificirani uzorci obično su kompajlirani kao 32-bitni DLL-ovi ili 32-bitne izvršne datoteke u rasponu od 93 KB do 124 KB. Nakon što se izvrši na oštećenim uređajima, LOBSHOT provjerava radi li Microsoft Defender i prekida njegovo izvršavanje ako se otkrije.
Sadržaj
Cyberkriminalci iskorištavaju Google oglase za distribuciju prijetnji zlonamjernim softverom
Stručnjaci za kibernetičku sigurnost primijetili su značajan porast upotrebe Google oglasa od strane aktera prijetnji za širenje zlonamjernog softvera putem rezultata pretraživanja. Zlonamjerne reklamne kampanje uključivale su imitaciju različitih web stranica i legitimnih softverskih proizvoda, kao što su 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus i nekoliko drugih aplikacija.
Unatoč dojmu legitimnosti koji daju oglasi, web-mjesta na koja preusmjeravaju zapravo su dizajnirana za širenje zlonamjernog softvera, uključujući Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT i Royal Ransomware umjesto pružanja originalnih aplikacija.
Zlonamjerni softver LOBSHOT cilja na proširenja i novčanike za kriptovalute
Ako LOBSHOT ne pronađe znakove prisutnosti Microsoft Defendera, nastavit će sa svojim prijetećim programiranjem. Prijetnja će automatski konfigurirati unose registra kako bi osigurala njegovo pokretanje pri svakom pokretanju sustava Windows. LOBSHOT će zatim prikupiti i započeti prijenos informacija o sustavu, uključujući sve pokrenute procese, sa zaraženog uređaja. Uz to, zlonamjerni softver traži prisutnost 32 Chrome proširenja novčanika za kriptovalute, devet proširenja novčanika Edge i 11 proširenja novčanika Firefoxa.
Nakon otkrivanja ovih proširenja, zlonamjerni softver pokreće datoteku u mapi C:\ProgramData. Međutim, istraživači nisu sigurni je li svrha datoteke izdvajanje podataka proširenja ili neka druga štetna radnja.
Iako je prikupljanje proširenja kriptovalute uobičajeni cilj zlonamjernog softvera, zlonamjerni softver LOBSHOT također ima hVNC modul ugrađen u svoju strukturu. Ovaj modul akterima prijetnji omogućuje diskretan daljinski pristup zaraženom uređaju.
Zlonamjerni softver LOBSHOT omogućuje daljinski pristup oštećenim uređajima
Mogućnost daljinskog upravljanja Windows stolnim računalom bez znanja žrtve omogućuje hVNC (skriveno računalstvo virtualne mreže) modul.
Zlonamjerni softver poznat kao LOBSHOT uključuje hVNC modul koji akterima prijetnje omogućuje manipuliranje skrivenom radnom površinom kao da su fizički prisutni ispred nje, koristeći svoju tipkovnicu i miš.
Nakon što je modul aktiviran, žrtvin stroj počinje slati snimke ekrana skrivene radne površine klijentu koji prisluškuje kojeg kontrolira napadač. Napadač može komunicirati s klijentom manipuliranjem tipkovnicom, klikanjem gumba i pomicanjem miša, dajući mu potpunu daljinsku kontrolu nad uređajem.
S potpunim pristupom dodijeljenim od strane hVNC-a, akteri prijetnji mogu provoditi različite aktivnosti, kao što su izvršavanje naredbi, krađa podataka i postavljanje dodatnih sadržaja zlonamjernog softvera.
