LOBSHOT Malware
A LOBSHOT nevű új rosszindulatú fenyegetésről kiderült, hogy a Google Ads szolgáltatáson keresztül terjeszthető, és képes megfertőzni a Windows-eszközöket a hVNC használatával. A rosszindulatú programot a kiberbiztonsági kutatók figyelték meg, akiket olyan hirdetésekkel reklámoztak, amelyek úgy tűnik, hogy a legális AnyDesk távfelügyeleti szoftverre vonatkoznak. A rosszindulatú hirdetések azonban ehelyett hamis webhelyre vezetik a felhasználókat. Ez az „amydeecke.website” oldal egy rosszindulatú MSI-fájlt küld, amely viszont egy PowerShell-parancsot hajt végre. A cél egy DLL letöltése a download-cdn[.]com webhelyről, egy olyan tartományról, amelyet korábban a TA505/Clop ransomware csoport kiberbűnözői tevékenységével társítottak.
A letöltött DLL fájl a LOBSHOT rosszindulatú program, és a C:\ProgramData mappába kerül mentésre, ahol a RunDLL32.exe futtatja. A LOBSHOT részleteit feltáró jelentés szerint a kutatók 2022 júliusa óta több mint 500 egyedi LOBSHOT mintát figyeltek meg. Az azonosított mintákat jellemzően 32 bites DLL-ekként vagy 32 bites végrehajtható fájlokként állítják össze, 93 KB és 124 KB között. Miután végrehajtották a feltört eszközökön, a LOBSHOT ellenőrzi, hogy fut-e a Microsoft Defender, és leállítja a végrehajtást, ha észleli.
Tartalomjegyzék
A kiberbűnözők kihasználják a Google Ads szolgáltatást rosszindulatú programok terjesztésére
A kiberbiztonsági szakértők azt figyelték meg, hogy a fenyegetés szereplői jelentősen megugrottak a Google-hirdetések használatában a rosszindulatú programok keresési eredményeken keresztüli terjesztésére. A rosszindulatú reklámkampányok különféle webhelyek és legális szoftvertermékek, például 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus és számos más alkalmazás utánzását foglalták magukban.
A hirdetések által keltett legitimitás benyomása ellenére az általuk átirányított webhelyek valójában rosszindulatú programok terjesztésére szolgálnak, ideértve a Gozit , a RedLine -t, a Vidart , a Cobalt Strike-ot , a SectoRAT-ot és a Royal Ransomware-t , ahelyett, hogy valódi alkalmazásokat kínálnának.
A LOBSHOT rosszindulatú program a kriptovaluta-bővítményeket és a pénztárcákat célozza meg
Ha a LOBSHOT nem találja a Microsoft Defender jelenlétére utaló jeleket, akkor folytatja a fenyegető programozást. A fenyegetés automatikusan konfigurálja a rendszerleíró adatbázis bejegyzéseit, hogy biztosítsa az indítást minden Windows rendszerindításkor. A LOBSHOT ezután összegyűjti és megkezdi a rendszerinformációk továbbítását, beleértve az összes futó folyamatot is, a fertőzött eszközről. Ezenkívül a kártevő 32 Chrome kriptovaluta pénztárcabővítmény, kilenc Edge pénztárcabővítmény és 11 Firefox pénztárcabővítmény jelenlétét keresi.
E kiterjesztések észlelésekor a kártevő végrehajt egy fájlt a C:\ProgramData mappában. A kutatók azonban bizonytalanok abban, hogy a fájl célja a kiterjesztési adatok kinyerése vagy más káros tevékenység.
Bár a kriptovaluta-kiterjesztések gyűjtése a rosszindulatú programok általános célja, a LOBSHOT malware szerkezetébe egy hVNC modul is be van építve. Ez a modul lehetővé teszi a fenyegetés szereplői számára, hogy diszkréten távolról hozzáférjenek a fertőzött eszközhöz.
A LOBSHOT rosszindulatú program távoli hozzáférést biztosít a feltört eszközökhöz
A Windows asztali számítógép távoli vezérlését az áldozat tudta nélkül a hVNC (rejtett virtuális hálózati számítástechnika) modul teszi lehetővé.
A LOBSHOT néven ismert rosszindulatú program tartalmaz egy hVNC modult, amely lehetővé teszi a fenyegetés szereplői számára, hogy billentyűzetük és egerük segítségével úgy manipulálják a rejtett asztalt, mintha fizikailag ott lennének előtte.
A modul aktiválása után az áldozat gépe elkezdi továbbítani a rejtett asztal képernyőfelvételeit a támadó által irányított hallgató kliensnek. A támadó a billentyűzet manipulálásával, a gombokra kattintással és az egér mozgatásával kapcsolatba léphet az ügyféllel, így teljes távvezérlést biztosít az eszköz felett.
A hVNC által biztosított teljes hozzáféréssel a fenyegetés szereplői különféle tevékenységeket hajthatnak végre, például parancsokat hajthatnak végre, adatokat lophatnak és további rosszindulatú programokat telepíthetnek.