LOBSHOT Kenkėjiška programa
Nustatyta, kad nauja kenkėjiškų programų grėsmė, vadinama LOBSHOT, platinama per „Google Ads“ ir gali užkrėsti „Windows“ įrenginius naudojant hVNC. Kenkėjišką programą pastebėjo kibernetinio saugumo tyrėjai, reklamuojami skelbimais, kurie, atrodo, buvo skirti teisėtai „AnyDesk“ nuotolinio valdymo programinei įrangai. Tačiau kenkėjiškos reklamos nukreipia vartotojus į netikrą svetainę. Šis puslapis „amydeecke.website“ siunčia kenkėjišką MSI failą, kuris savo ruožtu vykdo „PowerShell“ komandą. Tikslas – atsisiųsti DLL iš download-cdn[.]com – domeno, kuris anksčiau buvo susietas su TA505/Clop išpirkos programų grupės kibernetine nusikalstama veikla.
Atsisiųstas DLL failas yra LOBSHOT kenkėjiška programa ir išsaugomas aplanke C:\ProgramData, kur jį vykdo RunDLL32.exe. Remiantis ataskaita, kurioje atskleista išsami informacija apie LOBSHOT, nuo 2022 m. liepos mėn. mokslininkai stebėjo daugiau nei 500 unikalių LOBSHOT pavyzdžių. Nustatyti pavyzdžiai paprastai sudaromi kaip 32 bitų DLL arba 32 bitų vykdomieji failai, kurių dydis yra nuo 93 KB iki 124 KB. Paleidus pažeistuose įrenginiuose, LOBSHOT patikrina, ar veikia Microsoft Defender, ir nutraukia jos vykdymą, jei aptinkama.
Turinys
Kibernetiniai nusikaltėliai išnaudoja „Google Ads“, kad platintų grėsmes kenkėjiškoms programoms
Kibernetinio saugumo ekspertai pastebėjo, kad grėsmės veikėjai, siekdami platinti kenkėjiškas programas per paieškos rezultatus, labai dažnai naudoja „Google“ skelbimus. Kenkėjiškos reklamos kampanijos apėmė įvairių svetainių ir teisėtų programinės įrangos produktų, tokių kaip 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ir keleto kitų programų, imitavimą.
Nepaisant to, kad skelbimai sukuria teisėtumo įspūdį, svetainės, į kurias jie nukreipia, iš tikrųjų yra skirtos platinti kenkėjiškas programas, įskaitant Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT ir Royal Ransomware , o ne teikti autentiškas programas.
LOBSHOT kenkėjiška programa skirta kriptovaliutų plėtiniams ir piniginėms
Jei LOBSHOT neranda „Microsoft Defender“ buvimo požymių, jis tęs grėsmingą programavimą. Grėsmė automatiškai sukonfigūruos registro įrašus, kad užtikrintų jo paleidimą kiekvieną kartą paleidžiant „Windows“. Tada LOBSHOT rinks ir pradės perduoti sistemos informaciją, įskaitant visus vykdomus procesus, iš užkrėsto įrenginio. Be to, kenkėjiška programa ieško 32 „Chrome“ kriptovaliutos piniginės plėtinių, devynių „Edge“ piniginės plėtinių ir 11 „Firefox“ piniginės plėtinių.
Aptikusi šiuos plėtinius, kenkėjiška programa paleidžia failą aplanke C:\ProgramData. Tačiau tyrėjai nėra tikri, ar failo tikslas yra išgauti plėtinio duomenis ar atlikti kokį nors kitą žalingą veiksmą.
Nors kriptovaliutų plėtinių rinkimas yra įprastas kenkėjiškų programų tikslas, LOBSHOT kenkėjiška programa taip pat turi hVNC modulį, įtrauktą į jos struktūrą. Šis modulis leidžia grėsmės veikėjams diskretiškai nuotoliniu būdu pasiekti užkrėstą įrenginį.
LOBSHOT kenkėjiška programa suteikia nuotolinę prieigą prie pažeistų įrenginių
Galimybę nuotoliniu būdu valdyti Windows stalinį kompiuterį be aukos žinios suteikia hVNC (paslėpto virtualaus tinklo skaičiavimo) modulis.
Kenkėjiška programinė įranga, žinoma kaip LOBSHOT, apima hVNC modulį, kuris leidžia grėsmės veikėjams valdyti paslėptą darbalaukį taip, lyg jie būtų fiziškai priešais jį, naudojant klaviatūrą ir pelę.
Kai modulis suaktyvinamas, aukos mašina pradeda perduoti paslėpto darbalaukio ekrano nuotraukas klausančiam klientui, kurį kontroliuoja užpuolikas. Užpuolikas gali bendrauti su klientu manipuliuodamas klaviatūra, spustelėdamas mygtukus ir judindamas pelę, suteikdamas visišką įrenginio nuotolinį valdymą.
Turėdami visišką hVNC prieigą, grėsmės veikėjai gali vykdyti įvairias veiklas, tokias kaip komandų vykdymas, duomenų vagystės ir papildomų kenkėjiškų programų apkrovų diegimas.
