LOBSHOT Malware
È stato scoperto che una nuova minaccia malware chiamata LOBSHOT viene distribuita tramite Google Ads ed è in grado di infettare i dispositivi Windows utilizzando hVNC. Il malware è stato osservato dai ricercatori di sicurezza informatica promosso da annunci che sembravano essere per il legittimo software di gestione remota AnyDesk. Tuttavia, gli annunci dannosi portano invece gli utenti a un sito Web falso. Questa pagina, "amydeecke.website", invia un file MSI dannoso che, a sua volta, esegue un comando PowerShell. L'obiettivo è scaricare una DLL da download-cdn[.]com, un dominio precedentemente associato alle attività dei criminali informatici del gruppo di ransomware TA505/Clop.
Il file DLL scaricato è il malware LOBSHOT e viene salvato nella cartella C:\ProgramData, dove viene eseguito da RunDLL32.exe. Secondo un rapporto, che ha rivelato dettagli su LOBSHOT, i ricercatori hanno osservato oltre 500 campioni LOBSHOT unici dal luglio 2022. I campioni identificati sono in genere compilati come DLL a 32 bit o eseguibili a 32 bit compresi tra 93 KB e 124 KB. Una volta eseguito sui dispositivi violati, LOBSHOT controlla se Microsoft Defender è in esecuzione e termina l'esecuzione se rilevato.
Sommario
I criminali informatici sfruttano gli annunci di Google per distribuire minacce malware
Gli esperti di sicurezza informatica hanno osservato un notevole aumento dell'utilizzo degli annunci Google da parte di attori delle minacce per diffondere malware attraverso i risultati di ricerca. Le campagne pubblicitarie dannose prevedevano l'imitazione di vari siti Web e prodotti software legittimi, come 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus e molte altre applicazioni.
Nonostante l'impressione di legittimità data dagli annunci, i siti Web a cui reindirizzano sono in realtà progettati per diffondere malware, inclusi Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT e Royal Ransomware invece di fornire applicazioni autentiche.
Il malware LOBSHOT prende di mira estensioni e portafogli di criptovaluta
Se LOBSHOT non trova segni della presenza di Microsoft Defender, procederà con la sua minacciosa programmazione. La minaccia configurerà automaticamente le voci del Registro di sistema per garantirne l'avvio a ogni avvio di Windows. LOBSHOT raccoglierà quindi e inizierà a trasmettere informazioni di sistema, inclusi tutti i processi in esecuzione, dal dispositivo infetto. Inoltre, il malware cerca la presenza di 32 estensioni del portafoglio di criptovaluta Chrome, nove estensioni del portafoglio Edge e 11 estensioni del portafoglio Firefox.
Dopo aver rilevato queste estensioni, il malware esegue un file nella cartella C:\ProgramData. Tuttavia, i ricercatori non sono sicuri se lo scopo del file sia quello di estrarre i dati delle estensioni o qualche altra azione dannosa.
Sebbene la raccolta di estensioni di criptovaluta sia un obiettivo comune per il malware, il malware LOBSHOT ha anche un modulo hVNC incorporato nella sua struttura. Questo modulo consente agli attori delle minacce di accedere a un dispositivo infetto da remoto in modo discreto.
Il malware LOBSHOT fornisce l'accesso remoto ai dispositivi violati
La capacità di controllare in remoto un computer desktop Windows all'insaputa della vittima è resa possibile dal modulo hVNC (hidden virtual network computing).
Il malware noto come LOBSHOT include un modulo hVNC, che consente agli autori delle minacce di manipolare il desktop nascosto come se fossero fisicamente presenti davanti ad esso, utilizzando la tastiera e il mouse.
Una volta attivato il modulo, la macchina della vittima inizia a trasmettere le catture dello schermo del desktop nascosto a un client in ascolto controllato dall'aggressore. L'aggressore può interagire con il client manipolando la tastiera, facendo clic sui pulsanti e spostando il mouse, dandogli il controllo remoto completo del dispositivo.
Con l'accesso completo concesso da hVNC, gli attori delle minacce possono svolgere varie attività, come l'esecuzione di comandi, il furto di dati e la distribuzione di ulteriori payload di malware.
