មេរោគ LOBSHOT

ការគំរាមកំហែងមេរោគថ្មីហៅថា LOBSHOT ត្រូវបានរកឃើញថាត្រូវបានចែកចាយតាមរយៈ Google Ads និងមានសមត្ថភាពឆ្លងឧបករណ៍ Windows ដោយប្រើ hVNC ។ មេរោគនេះត្រូវបានសង្កេតឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតដែលត្រូវបានផ្សព្វផ្សាយដោយការផ្សាយពាណិជ្ជកម្មដែលហាក់ដូចជាសម្រាប់កម្មវិធីគ្រប់គ្រងពីចម្ងាយ AnyDesk ស្របច្បាប់។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់ជំនួសឲ្យអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយ។ ទំព័រនេះ 'amydeecke.website' រុញឯកសារ MSI ព្យាបាទ ដែលប្រតិបត្តិពាក្យបញ្ជា PowerShell ។ គោលដៅគឺដើម្បីទាញយក DLL ពី download-cdn[.]com ដែលជាដែនដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតរបស់ក្រុម TA505/Clop ransomware ។

ឯកសារ DLL ដែលបានទាញយកគឺជាមេរោគ LOBSHOT ហើយត្រូវបានរក្សាទុកក្នុងថត C:\ProgramData ដែលវាត្រូវបានប្រតិបត្តិដោយ RunDLL32.exe ។ យោងតាមរបាយការណ៍ដែលបង្ហាញព័ត៌មានលម្អិតអំពី LOBSHOT អ្នកស្រាវជ្រាវបានសង្កេតមើលគំរូ LOBSHOT ពិសេសជាង 500 ចាប់តាំងពីខែកក្កដា ឆ្នាំ 2022។ គំរូដែលបានកំណត់ជាធម្មតាត្រូវបានចងក្រងជា DLLs 32-bit ឬ 32-bit អាចប្រតិបត្តិបានចន្លោះពី 93 KB ដល់ 124 KB ។ នៅពេលដែលបានប្រតិបត្តិលើឧបករណ៍ដែលបំពាន LOBSHOT ពិនិត្យមើលថាតើ Microsoft Defender កំពុងដំណើរការឬអត់ ហើយបញ្ចប់ការប្រតិបត្តិរបស់វា ប្រសិនបើត្រូវបានរកឃើញ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត កេងប្រវ័ញ្ចលើ Google Ads ដើម្បីចែកចាយការគំរាមកំហែងពីមេរោគ

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានសង្កេតឃើញការកើនឡើងយ៉ាងខ្លាំងនៃការប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្មរបស់ Google ដោយតួអង្គគំរាមកំហែងដើម្បីផ្សព្វផ្សាយមេរោគតាមរយៈលទ្ធផលស្វែងរក។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់ពាក់ព័ន្ធនឹងការក្លែងបន្លំគេហទំព័រផ្សេងៗ និងផលិតផលកម្មវិធីស្របច្បាប់ ដូចជា 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus និងកម្មវិធីជាច្រើនទៀត។

ទោះបីជាមានការចាប់អារម្មណ៍ពីភាពស្របច្បាប់ដែលបានផ្តល់ឱ្យដោយការផ្សាយពាណិជ្ជកម្មក៏ដោយ គេហទំព័រដែលពួកគេប្តូរទិសទៅពិតជាត្រូវបានរចនាឡើងដើម្បីផ្សព្វផ្សាយមេរោគ រួមមាន Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT និង Royal Ransomware ជំនួសឱ្យការផ្តល់កម្មវិធីពិតប្រាកដ។

មេរោគ LOBSHOT កំណត់គោលដៅផ្នែកបន្ថែម Cryptocurrency និងកាបូប

ប្រសិនបើ LOBSHOT មិនបានរកឃើញសញ្ញានៃវត្តមានរបស់ Microsoft Defender ទេ វានឹងបន្តជាមួយនឹងកម្មវិធីគំរាមកំហែងរបស់វា។ ការគំរាមកំហែងនឹងកំណត់រចនាសម្ព័ន្ធធាតុចុះបញ្ជីដោយស្វ័យប្រវត្តិ ដើម្បីធានាបាននូវការចាប់ផ្តើមរបស់វានៅលើរាល់ការចាប់ផ្ដើមវីនដូ។ បន្ទាប់មក LOBSHOT នឹងប្រមូល និងចាប់ផ្តើមបញ្ជូនព័ត៌មានប្រព័ន្ធ រួមទាំងដំណើរការដែលកំពុងដំណើរការទាំងអស់ពីឧបករណ៍ដែលមានមេរោគ។ លើសពីនេះទៀត មេរោគស្វែងរកវត្តមាននៃផ្នែកបន្ថែមកាបូបលុយគ្រីបតូគ្រីបរបស់ Chrome ចំនួន 32 ផ្នែកបន្ថែមកាបូប Edge ប្រាំបួន និងផ្នែកបន្ថែមកាបូប Firefox 11 ។

នៅពេលរកឃើញផ្នែកបន្ថែមទាំងនេះ មេរោគដំណើរការឯកសារនៅក្នុងថត C:\ProgramData ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវមិនច្បាស់ថាតើគោលបំណងនៃឯកសារនេះគឺដើម្បីទាញយកទិន្នន័យផ្នែកបន្ថែម ឬសកម្មភាពបង្កគ្រោះថ្នាក់មួយចំនួនផ្សេងទៀត។

ទោះបីជាការប្រមូលផ្នែកបន្ថែម cryptocurrency គឺជាគោលដៅទូទៅសម្រាប់មេរោគក៏ដោយ មេរោគ LOBSHOT ក៏មានម៉ូឌុល hVNC ដែលត្រូវបានបញ្ចូលទៅក្នុងរចនាសម្ព័ន្ធរបស់វាផងដែរ។ ម៉ូឌុលនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងចូលប្រើឧបករណ៍ដែលមានមេរោគពីចម្ងាយដោយមិនដឹងខ្លួន។

មេរោគ LOBSHOT ផ្តល់នូវការចូលប្រើពីចម្ងាយទៅកាន់ឧបករណ៍ដែលបំពាន

សមត្ថភាពក្នុងការគ្រប់គ្រងកុំព្យូទ័រលើតុ Windows ពីចម្ងាយដោយគ្មានចំណេះដឹងរបស់ជនរងគ្រោះគឺអាចធ្វើទៅបានដោយ hVNC (hidden virtual network computing) module ។

មេរោគដែលគេស្គាល់ថាជា LOBSHOT រួមមានម៉ូឌុល hVNC ដែលអាចឱ្យតួអង្គគំរាមកំហែងអាចរៀបចំផ្ទៃតុដែលលាក់ទុកដូចជាពួកគេមានវត្តមាននៅពីមុខវា ដោយប្រើក្តារចុច និងកណ្តុររបស់ពួកគេ។

នៅពេលដែលម៉ូឌុលនេះត្រូវបានធ្វើឱ្យសកម្ម ម៉ាស៊ីនរបស់ជនរងគ្រោះចាប់ផ្តើមបញ្ជូនការចាប់យកអេក្រង់នៃផ្ទៃតុដែលលាក់ទៅម៉ាស៊ីនភ្ញៀវស្តាប់ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ អ្នកវាយប្រហារអាចធ្វើអន្តរកម្មជាមួយអតិថិជនដោយរៀបចំក្តារចុច ចុចប៊ូតុង និងផ្លាស់ទីកណ្ដុរ ដោយផ្តល់ឱ្យពួកគេនូវការបញ្ជាពីចម្ងាយពេញលេញនៃឧបករណ៍។

ជាមួយនឹងការចូលប្រើពេញលេញដែលផ្តល់ដោយ hVNC តួអង្គគំរាមកំហែងអាចអនុវត្តសកម្មភាពផ្សេងៗ ដូចជាការប្រតិបត្តិពាក្យបញ្ជា ការលួចទិន្នន័យ និងការដាក់ពង្រាយកម្មវិធីផ្ទុកមេរោគបន្ថែម។