Sconti per licenze multiple
Computer Security Malware LOBSHOT scoperto tramite indagine sul malvertising

Malware LOBSHOT scoperto tramite indagine sul malvertising

Entro Mura nel Computer Security
Traduci in:
Italiano

I ricercatori di Elastic Security Labs hanno recentemente scoperto un nuovo malware chiamato LOBSHOT durante la loro indagine approfondita su un aumento delle campagne di malvertising. LOBSHOT è di particolare interesse perché garantisce agli attori delle minacce l'accesso VNC (Virtual Network Computing) nascosto ai dispositivi infetti. I ricercatori hanno anche trovato connessioni tra il malware e TA505, un gruppo di criminali informatici motivato finanziariamente noto per la distribuzione di vari ransomware e trojan bancari .

Picco nelle campagne di malvertising

Le campagne di malvertising sono aumentate di numero e la loro natura furtiva rende difficile per gli utenti distinguere tra pubblicità legittime e dannose. I ricercatori di sicurezza hanno osservato che questo aumento può essere attribuito agli attori delle minacce che vendono malvertising-as-a-service, sottolineando ulteriormente l'importanza di essere vigili quando si interagisce con gli annunci online.

Nel corso della loro ricerca, gli Elastic Security Labs hanno osservato un picco importante nelle campagne di malvertising che utilizzano kit di exploit per colpire vulnerabilità specifiche in applicazioni ampiamente utilizzate. Queste campagne sono state sempre più osservate su diversi siti Web popolari, esponendo milioni di utenti a potenziali minacce. In genere, i visitatori di questi siti Web incontrano malvertisement che, quando vengono cliccati, reindirizzano a una pagina di destinazione del kit di exploit in cui LOBSHOT viene infine eseguito sul dispositivo dell'utente.

TA505 Infrastrutture

TA505 , il gruppo criminale informatico sospettato di essere dietro lo sviluppo e l'implementazione di LOBSHOT, è da tempo riconosciuto per le sue attività dannose ad ampio raggio. Questo gruppo è noto per la sua gamma ben organizzata e diversificata di campagne di attacco, incentrate in particolare sulle istituzioni finanziarie come obiettivi primari, ma estendendo anche le loro attività dannose ad altri settori.

In seguito all'analisi di LOBSHOT, Elastic Security Labs ha rilevato chiare sovrapposizioni tra l'infrastruttura del malware e l'infrastruttura TA505 precedentemente identificata. La somiglianza nelle metodologie di attacco e l'infrastruttura sovrapposta dà credito all'ipotesi che TA505 sia responsabile dello sviluppo e dell'uso attivo di LOBSHOT.

Accesso VNC nascosto

Uno degli aspetti più preoccupanti di LOBSHOT è la sua capacità di garantire agli autori delle minacce l'accesso nascosto ai dispositivi delle vittime tramite VNC. Questa funzione specifica consente agli aggressori di ottenere l'accesso remoto a un dispositivo infetto aggirando il consenso dell'utente, fornendo loro la possibilità di monitorare, manipolare ed esfiltrare dati sensibili all'insaputa dell'utente. L'accesso VNC nascosto rende LOBSHOT uno strumento potente e pericoloso nell'arsenale dei criminali informatici, in particolare quelli con motivazioni finanziarie.

Metodo di distribuzione

È stato osservato che il metodo di distribuzione del malware LOBSHOT implica tattiche ingannevoli, sfruttando Google Ads e siti Web fasulli per attirare vittime ignare. Queste tecniche dimostrano ulteriormente la sofisticatezza e l'adattabilità degli autori delle minacce dietro questo malware, rendendo ancora più importante per gli utenti finali essere cauti quando navigano e fanno clic sugli annunci pubblicitari.

Siti Web falsi tramite Google Ads

Uno dei modi principali in cui LOBSHOT viene distribuito è attraverso l'uso di siti Web fasulli promossi tramite Google Ads. Gli autori delle minacce creano e gestiscono questi siti Web contraffatti, progettati per imitare siti Web e servizi legittimi. Sfruttando la piattaforma Google Ads, gli aggressori possono mostrare i loro annunci dannosi a utenti ignari che possono fare clic sugli annunci con l'impressione che siano autentici, portando all'installazione del malware LOBSHOT sui loro dispositivi.

Reindirizzamento degli utenti a un falso dominio AnyDesk

Oltre a utilizzare siti Web fasulli, il processo di distribuzione del malware LOBSHOT prevede anche il reindirizzamento degli utenti a un dominio AnyDesk contraffatto. AnyDesk è una popolare applicazione desktop remoto a cui molte aziende e privati fanno affidamento per l'accesso e il supporto remoti. Gli attori delle minacce hanno approfittato di questa fiducia creando un dominio AnyDesk fittizio per indurre gli utenti a scaricare una versione dannosa del software, che in realtà è malware LOBSHOT. Questo metodo evidenzia ulteriormente le tattiche astute utilizzate da questi criminali informatici per intrappolare le vittime ed eseguire le loro attività dannose.

Installazione tramite sistema compromesso

In alcuni casi, il malware LOBSHOT può essere installato sul dispositivo di una vittima attraverso un sistema compromesso. Ciò potrebbe verificarsi se l'utente visita o scarica inconsapevolmente contenuto da un sito Web che è stato infettato dal malware o se è diventato il bersaglio di una campagna di spear phishing. Una volta che il malware si è infiltrato con successo nel dispositivo della vittima, può concedere l'accesso VNC nascosto all'autore della minaccia, che può quindi controllare e manipolare in remoto il sistema come desiderato.

Le capacità di LOBSHOT

Il malware LOBSHOT vanta una gamma di formidabili capacità che lo rendono abile nell'infiltrarsi e sfruttare i dispositivi degli utenti. Il malware si concentra principalmente sul Virtual Network Computing (hVNC) nascosto, consentendo agli aggressori di controllare da remoto i dispositivi infetti e accedere alla loro interfaccia utente. Le funzionalità principali di LOBSHOT includono:

Calcolo di reti virtuali nascoste (hVNC)

Al centro della funzionalità di LOBSHOT c'è la sua capacità di fornire un accesso VNC nascosto ai dispositivi delle vittime. Attraverso hVNC, agli aggressori viene concesso un metodo segreto per controllare in remoto un dispositivo senza il consenso o la conoscenza della vittima. La funzione hVNC rende LOBSHOT particolarmente pericoloso, in quanto consente ai malintenzionati di mantenere una presenza furtiva sui dispositivi compromessi mentre svolgono varie attività nefaste.

Controllo remoto del dispositivo

Le funzionalità hVNC di LOBSHOT consentono agli aggressori di assumere il pieno controllo dei dispositivi infetti, eseguendo comandi, apportando modifiche e accedendo alle risorse come se fossero l'utente legittimo. Questo livello di controllo consente agli autori delle minacce di svolgere un'ampia gamma di attività dannose, tra cui l'esfiltrazione di dati, l'installazione di malware aggiuntivo e la conduzione di campagne di spionaggio. La capacità di controllare a distanza il dispositivo di una vittima sottolinea la significativa minaccia rappresentata da LOBSHOT.

Interfaccia utente grafica completa (GUI)

Il malware ha anche la capacità di accedere all'intera interfaccia utente grafica (GUI) del dispositivo di destinazione, il che significa che l'attaccante può interagire visivamente con l'ambiente desktop del dispositivo. Questa funzionalità aggiunge un ulteriore livello di efficienza e controllo al malware, rendendo più facile per l'autore della minaccia navigare e manipolare il dispositivo compromesso. L'accesso alla GUI completa consente all'attaccante di monitorare le attività dell'utente, accedere a informazioni sensibili ed eseguire azioni attribuite all'utente legittimo, sottolineando ulteriormente la perniciosità di LOBSHOT.

Mitigazione e preoccupazioni

Il malware LOBSHOT presenta preoccupazioni significative sia per i singoli utenti che per le organizzazioni, a causa delle sue capacità VNC nascoste e dell'associazione con attori delle minacce motivati finanziariamente come TA505. La mitigazione e la risposta a queste preoccupazioni implicano la comprensione dei potenziali rischi e l'implementazione di adeguate misure difensive, nonché la richiesta di normative più severe su piattaforme come Google Ads.

Rubare informazioni bancarie e finanziarie

Una delle principali preoccupazioni relative a LOBSHOT è la sua capacità di rubare informazioni bancarie e finanziarie da dispositivi infetti. Il suo accesso VNC nascosto consente agli aggressori di infiltrarsi nei dispositivi senza essere rilevati, monitorare le attività degli utenti e acquisire dati sensibili come credenziali di accesso, numeri di conto e dettagli delle transazioni. Tali informazioni possono essere sfruttate a scopo di lucro o utilizzate in ulteriori attacchi, come il credential stuffing o le campagne di phishing.

Chiede una regolamentazione degli annunci più rigorosa su Google

In risposta alla crescente minaccia della distribuzione di malware tramite Google Ads, diversi ricercatori e professionisti della sicurezza hanno chiesto ad Alphabet, la holding di Google, di imporre norme più severe sull'approvazione degli annunci pubblicitari. L'implementazione di processi di screening degli annunci e meccanismi di verifica più solidi può aiutare a ridurre al minimo la diffusione di malware come LOBSHOT e ridurre il rischio che utenti ignari cadano vittime di tali minacce. Nel frattempo, gli utenti finali dovrebbero prendere precauzioni verificando la legittimità del dominio che stanno visitando e del software che stanno scaricando.

Caricamento in corso...