LOBSHOT Rosszindulatú programot fedeztek fel a rosszindulatú hirdetések vizsgálata során

Az Elastic Security Labs kutatói a közelmúltban fedezték fel a LOBSHOT nevű új kártevőt a rosszindulatú kampányok növekedésének alapos vizsgálata során. A LOBSHOT azért érdekes, mert rejtett VNC (Virtual Network Computing) hozzáférést biztosít a fenyegetés szereplői számára a fertőzött eszközökhöz. A kutatók összefüggést találtak a rosszindulatú program és a TA505 között is, egy pénzügyileg motivált kiberbűnözői csoport között, amely különböző zsarolóprogramok és banki trójai programok telepítéséről ismert.

Spike a rosszindulatú kampányokban

A rosszindulatú reklámkampányok száma egyre nő, és lopakodó jellegük megnehezíti a felhasználók számára, hogy különbséget tudjanak tenni a legitim és a rosszindulatú hirdetések között. Biztonsági kutatók megfigyelték, hogy ez az emelkedés a rosszindulatú reklámozást szolgáltatásként értékesítő fenyegetett szereplőknek tudható be, ami tovább hangsúlyozza az éberség fontosságát az online hirdetésekkel való interakció során.

Kutatásaik során az Elastic Security Labs kiemelkedő ugrást figyelt meg a rosszindulatú reklámozási kampányokban, amelyek kihasználó készleteket használnak a széles körben használt alkalmazások bizonyos sebezhetőségeinek megcélzására. Ezeket a kampányokat egyre gyakrabban figyelték meg számos népszerű webhelyen, és felhasználók millióit teszik ki potenciális fenyegetéseknek. Az ilyen webhelyek látogatói általában olyan rosszindulatú hirdetésekkel találkoznak, amelyekre kattintáskor átirányítanak egy exploit kit céloldalra, ahol a LOBSHOT végül végrehajtja a felhasználó eszközén.

TA505 Infrastruktúra

A TA505 nevű kiberbűnözői csoportot, amelyet azzal gyanúsítanak, hogy a LOBSHOT fejlesztése és telepítése mögött áll, már régóta elismerték széles körű rosszindulatú tevékenységeiről. Ez a csoport jól szervezett és sokrétű támadási kampányairól ismert, amelyek elsősorban a pénzintézetekre, mint elsődleges célpontokra összpontosítanak, de rosszindulatú tevékenységeiket más iparágakra is kiterjesztik.

A LOBSHOT elemzését követően az Elastic Security Labs egyértelmű átfedéseket talált a kártevő infrastruktúrája és a korábban azonosított TA505 infrastruktúra között. A támadási módszerek hasonlósága és az átfedő infrastruktúra hitelt ad annak a hipotézisnek, hogy a TA505 felelős a LOBSHOT fejlesztéséért és aktív használatáért.

Rejtett VNC hozzáférés

A LOBSHOT egyik leginkább aggasztó szempontja az, hogy a fenyegetés szereplőinek rejtett hozzáférést biztosít az áldozatok eszközeihez VNC-n keresztül. Ez a speciális funkció lehetővé teszi a támadók számára, hogy távolról hozzáférjenek egy fertőzött eszközhöz, miközben megkerülik a felhasználó hozzájárulását, lehetővé téve számukra az érzékeny adatok megfigyelését, manipulálását és kiszűrését a felhasználó tudta nélkül. A rejtett VNC hozzáférés a LOBSHOT-ot hatékony és veszélyes eszközzé teszi a kiberbûnözõk fegyvertárában, különösen a pénzügyi motivációkkal rendelkezõk körében.

Elosztási módszer

Megfigyelések szerint a LOBSHOT rosszindulatú programok terjesztési módszere megtévesztő taktikát foglal magában, a Google Ads és a hamis webhelyek kihasználását a gyanútlan áldozatok csábítására. Ezek a technikák tovább demonstrálják a kártevő mögött meghúzódó fenyegetés szereplőinek kifinomultságát és alkalmazkodóképességét, ami még kritikusabbá teszi a végfelhasználók számára, hogy óvatosak legyenek a böngészéskor és a hirdetésekre való kattintáskor.

Hamis webhelyek a Google Ads szolgáltatáson keresztül

A LOBSHOT terjesztésének egyik elsődleges módja a Google Ads szolgáltatáson keresztül népszerűsített hamis webhelyek használata. A fenyegetés szereplői létrehozzák és karbantartják ezeket a hamisított webhelyeket, amelyek célja a legitim webhelyek és szolgáltatások utánzása. A Google Ads platform kihasználásával az ellenfelek rosszindulatú hirdetéseiket megjeleníthetik a gyanútlan felhasználóknak, akik rákattinthatnak a hirdetésekre azzal a benyomással, hogy azok valódiak, ami a LOBSHOT rosszindulatú program telepítéséhez vezet az eszközeiken.

Felhasználók átirányítása hamis AnyDesk tartományba

A hamis webhelyek használata mellett a LOBSHOT rosszindulatú programok terjesztési folyamata magában foglalja a felhasználók átirányítását is egy hamisított AnyDesk tartományra. Az AnyDesk egy népszerű távoli asztali alkalmazás, amelyre sok vállalkozás és magánszemély támaszkodik távoli hozzáférés és támogatás terén. A fenyegetés szereplői kihasználták ezt a bizalmat egy fiktív AnyDesk tartomány létrehozásával, hogy a felhasználókat a szoftver rosszindulatú verziójának letöltésére csalják meg, amely valójában egy LOBSHOT rosszindulatú program. Ez a módszer még jobban rávilágít arra a ravasz taktikára, amelyet ezek a kiberbűnözők az áldozatok behálózására és rosszindulatú tevékenységeik végrehajtására alkalmaznak.

Telepítés kompromittált rendszeren keresztül

Egyes esetekben a LOBSHOT rosszindulatú program feltört rendszeren keresztül telepíthető az áldozat eszközére. Ez akkor fordulhat elő, ha a felhasználó tudtán kívül olyan webhelyet keres fel vagy tölt le tartalmat, amelyet megfertőzött a kártevő, vagy ha adathalász kampány célpontjává vált. Miután a rosszindulatú program sikeresen behatolt az áldozat eszközére, rejtett VNC-hozzáférést biztosíthat a fenyegető szereplőnek, aki ezután távolról irányíthatja és tetszés szerint manipulálhatja a rendszert.

A LOBSHOT képességei

A LOBSHOT rosszindulatú programok egy sor hatalmas képességgel büszkélkedhetnek, amelyek alkalmassá teszik a felhasználói eszközök beszivárgását és kihasználását. A kártevő elsősorban a rejtett virtuális hálózati számítástechnikára (hVNC) összpontosít, lehetővé téve a támadók számára, hogy távolról irányítsák a fertőzött eszközöket és hozzáférjenek a felhasználói felületükhöz. A LOBSHOT alapvető képességei a következők:

Rejtett virtuális hálózati számítástechnika (hVNC)

A LOBSHOT funkcióinak középpontjában az a képesség áll, hogy rejtett VNC-hozzáférést biztosítson az áldozat eszközökhöz. A hVNC-n keresztül a támadók titkos módszert kapnak az eszköz távvezérlésére az áldozat beleegyezése vagy tudta nélkül. A hVNC funkció különösen veszélyessé teszi a LOBSHOT-ot, mivel lehetővé teszi a rossz szereplők számára, hogy titokban maradjanak a feltört eszközökön, miközben különféle aljas tevékenységeket hajtanak végre.

A készülék távirányítója

A LOBSHOT hVNC képességei lehetővé teszik a támadók számára, hogy teljes mértékben átvegyék az irányítást a fertőzött eszközök felett, parancsokat hajtsanak végre, változtatásokat hajtsanak végre, és úgy férjenek hozzá az erőforrásokhoz, mintha jogos felhasználó lennének. Ez az ellenőrzési szint lehetővé teszi a fenyegetés szereplői számára, hogy rosszindulatú tevékenységek széles körét hajtsák végre, beleértve az adatok kiszűrését, további rosszindulatú programok telepítését és kémkampányok lebonyolítását. Az áldozat eszközének távoli vezérlésének képessége aláhúzza a LOBSHOT által jelentett jelentős veszélyt.

Teljes grafikus felhasználói felület (GUI)

A rosszindulatú program emellett képes hozzáférni a céleszköz teljes grafikus felhasználói felületéhez (GUI), ami azt jelenti, hogy a támadó vizuálisan kapcsolatba léphet az eszköz asztali környezetével. Ez a funkció egy újabb hatékonysági és irányítási réteget ad a rosszindulatú programnak azáltal, hogy megkönnyíti a fenyegetés szereplői számára a navigációt és a feltört eszköz kezelését. A teljes grafikus felhasználói felülethez való hozzáférés lehetővé teszi a támadó számára, hogy figyelemmel kísérje a felhasználói tevékenységeket, hozzáférjen az érzékeny információkhoz, és a jogos felhasználónak tulajdonított műveleteket hajtson végre, tovább hangsúlyozva a LOBSHOT káros hatását.

Enyhítés és aggodalmak

A LOBSHOT rosszindulatú szoftverek mind az egyéni felhasználók, mind a szervezetek számára jelentős aggodalmakat okoznak rejtett VNC-képességei és a pénzügyileg motivált fenyegetési szereplőkkel, például a TA505-tel való kapcsolata miatt. Ezen aggodalmak enyhítése és kezelése magában foglalja a lehetséges kockázatok megértését és megfelelő védekezési intézkedések végrehajtását, valamint szigorúbb szabályozások követelését az olyan platformokon, mint a Google Ads.

Banki és pénzügyi információk ellopása

A LOBSHOT-tal kapcsolatos egyik elsődleges aggály az, hogy banki és pénzügyi információkat lophat el a fertőzött eszközökről. Rejtett VNC-hozzáférése lehetővé teszi a támadók számára, hogy észrevétlenül behatoljanak az eszközökre, figyeljék a felhasználói tevékenységeket, és olyan érzékeny adatokat rögzítsenek, mint a bejelentkezési adatok, számlaszámok és tranzakciós adatok. Az ilyen információk felhasználhatók gazdasági haszonszerzésre, vagy felhasználhatók további támadásokhoz, például hitelesítő adatok kitöltéséhez vagy adathalász kampányokhoz.

Szigorúbb hirdetési szabályozást kér a Google-on

A Google Ads rendszeren keresztüli rosszindulatú programok egyre növekvő fenyegetésére válaszul több kutató és biztonsági szakember kérte, hogy a Google holdingja, az Alphabet szigorúbb szabályokat vezessenek be a hirdetések jóváhagyására vonatkozóan. A robusztusabb hirdetésszűrési folyamatok és ellenőrzési mechanizmusok bevezetése segíthet minimalizálni az olyan rosszindulatú programok terjedését, mint a LOBSHOT, és csökkentheti annak a kockázatát, hogy a gyanútlan felhasználók ilyen fenyegetések áldozataivá váljanak. Addig is a végfelhasználóknak óvintézkedéseket kell tenniük a meglátogatott domain és a letöltött szoftver legitimitásának ellenőrzésével.