LOBSHOT kenkėjiška programa, aptikta atliekant kenkėjiškų veiksmų tyrimą
Elastic Security Labs tyrėjai neseniai atrado naują kenkėjišką programą, pavadintą LOBSHOT , atlikdami išsamų tyrimą dėl kenkėjiškų reklamavimo kampanijų padidėjimo. LOBSHOT yra ypač įdomus, nes suteikia grėsmės veikėjams paslėptą VNC (virtualaus tinklo skaičiavimo) prieigą prie užkrėstų įrenginių. Tyrėjai taip pat nustatė sąsajų tarp kenkėjiškos programos ir TA505 – finansiškai motyvuotos kibernetinės nusikaltėlių grupės, žinomos dėl įvairių išpirkos reikalaujančių programų ir bankinių Trojos arklių .
Turinys
Netinkamų reklamavimo kampanijų šuolis
Klaidingos reklamos kampanijų daugėja, o dėl jų slapto pobūdžio naudotojams sunku atskirti teisėtą reklamą nuo kenkėjiškos. Saugumo tyrinėtojai pastebėjo, kad šis padidėjimas gali būti siejamas su grėsmių subjektais, parduodančiais netinkamą reklamą kaip paslaugą, o tai dar labiau pabrėžia, kaip svarbu būti budriems sąveikaujant su internetiniais skelbimais.
Viso tyrimo metu „Elastic Security Labs“ pastebėjo ryškų piktnaudžiavimo kampanijų šuolį, naudojant išnaudojimo rinkinius, skirtus konkrečiai pažeidžiamumui plačiai naudojamose programose. Šios kampanijos vis dažniau stebimos keliose populiariose svetainėse, todėl milijonams vartotojų kyla potencialių grėsmių. Paprastai šių svetainių lankytojai susiduria su netinkamais skelbimais, kuriuos spustelėjus nukreipiamas į išnaudojimo rinkinio nukreipimo puslapį, kuriame LOBSHOT galiausiai paleidžiama vartotojo įrenginyje.
TA505 infrastruktūra
TA505 , kibernetinių nusikaltėlių grupė, įtariama kuriant ir diegiant LOBSHOT, jau seniai buvo pripažinta dėl plataus masto kenkėjiškos veiklos. Ši grupė yra žinoma dėl savo gerai organizuotų ir įvairių atakų kampanijų, daugiausia dėmesio skiriant finansinėms institucijoms kaip pagrindiniam jų taikiniui, bet taip pat plečiant jų kenkėjišką veiklą į kitas pramonės šakas.
Atlikusi LOBSHOT analizę, „Elastic Security Labs“ nustatė aiškų sutapimą tarp kenkėjiškų programų infrastruktūros ir anksčiau nustatytos TA505 infrastruktūros. Atakų metodikų panašumas ir persidengianti infrastruktūra patvirtina hipotezę, kad TA505 yra atsakinga už LOBSHOT kūrimą ir aktyvų naudojimą.
Paslėpta VNC prieiga
Vienas iš labiausiai susirūpinusių LOBSHOT aspektų yra jo galimybė suteikti grėsmės veikėjams paslėptą prieigą prie aukų įrenginių per VNC. Ši specifinė funkcija leidžia užpuolikams gauti nuotolinę prieigą prie užkrėsto įrenginio apeinant vartotojo sutikimą, suteikiant jiems galimybę stebėti, manipuliuoti ir išfiltruoti neskelbtinus duomenis be vartotojo žinios. Dėl paslėptos VNC prieigos LOBSHOT yra galingas ir pavojingas įrankis kibernetinių nusikaltėlių, ypač turinčių finansinių motyvų, arsenale.
Paskirstymo metodas
Pastebėta, kad LOBSHOT kenkėjiškų programų platinimo metodas apima apgaulingą taktiką, „Google Ads“ ir netikrų svetainių panaudojimą, siekiant privilioti nieko neįtariančias aukas. Šie metodai dar labiau parodo šios kenkėjiškos programos grėsmių dalyvių sudėtingumą ir prisitaikymą, todėl galutiniams vartotojams dar svarbiau būti atsargiems naršant ir spustelėjus skelbimus.
Suklastotos svetainės per „Google Ads“.
Vienas iš pagrindinių LOBSHOT platinimo būdų yra naudojant „Google Ads“ reklamuojamas netikras svetaines. Grėsmės subjektai kuria ir prižiūri šias suklastotas svetaines, kurios sukurtos imituoti teisėtas svetaines ir paslaugas. Išnaudodami „Google Ads“ platformą, priešai gali rodyti savo kenkėjiškas reklamas nieko neįtariantiems vartotojams, kurie gali spustelėti skelbimus, manydami, kad jie yra tikri, todėl jų įrenginiuose gali būti įdiegta LOBSHOT kenkėjiška programa.
Vartotojų nukreipimas į netikrą AnyDesk domeną
Be netikrų svetainių naudojimo, LOBSHOT kenkėjiškų programų platinimo procesas taip pat apima vartotojų nukreipimą į padirbtą AnyDesk domeną. „AnyDesk“ yra populiari nuotolinio darbalaukio programa, kuria daugelis įmonių ir asmenų naudojasi nuotoline prieiga ir palaikymu. Grėsmės veikėjai pasinaudojo šiuo pasitikėjimu, sukurdami fiktyvų „AnyDesk“ domeną, kad suklaidintų vartotojus, kad jie atsisiųstų kenkėjišką programinės įrangos versiją, kuri iš tikrųjų yra LOBSHOT kenkėjiška programa. Šis metodas dar labiau išryškina gudrią šių kibernetinių nusikaltėlių taktiką, siekdami suvilioti aukas ir vykdyti jų piktybinę veiklą.
Diegimas per pažeistą sistemą
Kai kuriais atvejais kenkėjiška programa LOBSHOT gali būti įdiegta aukos įrenginyje per pažeistą sistemą. Taip gali nutikti, jei naudotojas nesąmoningai apsilanko ar atsisiunčia turinį iš svetainės, kuri buvo užkrėsta kenkėjiška programa, arba jei jis tapo sukčiavimo kampanijos taikiniu. Kai kenkėjiška programa sėkmingai įsiskverbia į aukos įrenginį, ji gali suteikti paslėptą VNC prieigą grėsmės veikėjui, kuris gali nuotoliniu būdu valdyti ir manipuliuoti sistema, kaip pageidaujama.
LOBSHOT galimybės
Kenkėjiška LOBSHOT programinė įranga gali pasigirti daugybe puikių galimybių, dėl kurių ji puikiai įsiskverbia į vartotojų įrenginius ir juos išnaudoja. Kenkėjiška programinė įranga visų pirma nukreipta į paslėptą virtualųjį tinklą (hVNC), leidžiantį užpuolikams nuotoliniu būdu valdyti užkrėstus įrenginius ir pasiekti jų vartotojo sąsają. Pagrindinės LOBSHOT galimybės apima:
Paslėptas virtualus tinklo skaičiavimas (hVNC)
LOBSHOT funkcionalumo esmė yra jos gebėjimas suteikti paslėptą VNC prieigą prie nukentėjusių įrenginių. Per hVNC užpuolikams suteikiamas slaptas būdas nuotoliniu būdu valdyti įrenginį be aukos sutikimo ar žinios. HVNC funkcija daro LOBSHOT ypač pavojingą, nes ji leidžia blogiems veikėjams slaptai būti pažeistuose įrenginiuose, atliekant įvairią nešvankią veiklą.
Nuotolinis įrenginio valdymas
LOBSHOT hVNC galimybės leidžia užpuolikams visiškai kontroliuoti užkrėstus įrenginius, vykdyti komandas, atlikti pakeitimus ir pasiekti išteklius taip, lyg jie būtų teisėti naudotojai. Šis kontrolės lygis leidžia grėsmės veikėjams vykdyti daugybę kenkėjiškų veiksmų, įskaitant duomenų išfiltravimą, papildomos kenkėjiškos programos įdiegimą ir šnipinėjimo kampanijų vykdymą. Galimybė nuotoliniu būdu valdyti aukos įrenginį pabrėžia didelę LOBSHOT keliamą grėsmę.
Visa grafinė vartotojo sąsaja (GUI)
Kenkėjiška programa taip pat turi galimybę pasiekti visą tikslinio įrenginio grafinę vartotojo sąsają (GUI), o tai reiškia, kad užpuolikas gali vizualiai sąveikauti su įrenginio darbalaukio aplinka. Ši funkcija suteikia dar vieną kenkėjiškos programos efektyvumo ir kontrolės lygį, nes grėsmės veikėjui lengviau naršyti ir valdyti pažeistą įrenginį. Prieiga prie visos GUI leidžia užpuolikui stebėti vartotojo veiklą, pasiekti slaptą informaciją ir atlikti veiksmus, priskirtus teisėtam vartotojui, dar labiau pabrėžiant LOBSHOT žalingumą.
Sušvelninimas ir rūpesčiai
LOBSHOT kenkėjiška programa kelia didelį susirūpinimą tiek atskiriems vartotojams, tiek organizacijoms dėl paslėptų VNC galimybių ir ryšio su finansiškai motyvuotais grėsmės veikėjais, tokiais kaip TA505. Siekiant sumažinti ir spręsti šias problemas, reikia suprasti galimą riziką ir įgyvendinti tinkamas apsaugos priemones, taip pat reikalauti griežtesnių taisyklių tokioms platformoms kaip „Google Ads“.
Bankinės ir finansinės informacijos vagystė
Vienas iš pagrindinių problemų, susijusių su LOBSHOT, yra galimybė pavogti bankinę ir finansinę informaciją iš užkrėstų įrenginių. Paslėpta VNC prieiga leidžia užpuolikams neaptiktiems įsiskverbti į įrenginius, stebėti vartotojų veiklą ir užfiksuoti slaptus duomenis, tokius kaip prisijungimo kredencialai, sąskaitų numeriai ir operacijų duomenys. Tokia informacija gali būti naudojama siekiant ekonominės naudos arba naudojama tolimesnėms atakoms, pvz., kredencialų užpildymui ar sukčiavimo kampanijoms.
Reikalauja griežtesnio skelbimų reguliavimo sistemoje „Google“.
Reaguodami į didėjančią kenkėjiškų programų platinimo per „Google Ads“ grėsmę, keli tyrinėtojai ir saugos specialistai paragino „Google“ kontroliuojančiąją bendrovę „Alphabet“ įvesti griežtesnes skelbimų patvirtinimo taisykles. Tvirtesnių skelbimų tikrinimo procesų ir tikrinimo mechanizmų įgyvendinimas gali padėti sumažinti kenkėjiškų programų, pvz., LOBSHOT, plitimą ir sumažinti riziką, kad nieko neįtariantys vartotojai taps tokių grėsmių aukomis. Tuo tarpu galutiniai vartotojai turėtų imtis atsargumo priemonių ir patikrinti domeno, kuriame jie lankosi, ir atsisiunčiamos programinės įrangos teisėtumą.