Ļaunprātīga programmatūra LOBSHOT, kas atklāta, veicot ļaunprātīgas darbības izmeklēšanu
Elastic Security Labs pētnieki nesen ir atklājuši jaunu ļaunprātīgu programmatūru ar nosaukumu LOBSHOT , rūpīgi izmeklējot ļaunprātīgas reklāmas kampaņu pieaugumu. LOBSHOT ir īpaši interesants, jo tas nodrošina apdraudējuma dalībniekiem slēpto VNC (virtuālā tīkla skaitļošanas) piekļuvi inficētām ierīcēm. Pētnieki arī atklāja saikni starp ļaunprātīgu programmatūru un TA505, finansiāli motivētu kibernoziedznieku grupu, kas pazīstama ar dažādu izspiedējvīrusu un banku Trojas zirgu izvietošanu.
Satura rādītājs
Ļaunprātīgo kampaņu pieaugums
Ļaunprātīgas reklāmas kampaņu skaits ir pieaudzis, un to slepenais raksturs apgrūtina lietotāju atšķiršanu starp likumīgām reklāmām un ļaunprātīgām reklāmām. Drošības pētnieki ir novērojuši, ka šis pieaugums var būt saistīts ar apdraudējuma dalībniekiem, kas pārdod ļaunprātīgu reklamēšanu kā pakalpojumu, vēl vairāk uzsverot, cik svarīgi ir būt modriem, mijiedarbojoties ar tiešsaistes reklāmām.
Visā sava pētījuma laikā Elastic Security Labs novēroja ievērojamu pieaugumu ļaunprātīgas reklāmas kampaņās, kurās tika izmantoti ekspluatācijas komplekti, lai mērķētu uz specifiskām ievainojamībām plaši izmantotās lietojumprogrammās. Šīs kampaņas arvien biežāk tiek novērotas vairākās populārās vietnēs, pakļaujot miljoniem lietotāju potenciāliem draudiem. Parasti šo vietņu apmeklētāji saskaras ar ļaunprātīgiem paziņojumiem, uz kuriem noklikšķinot, tiek novirzīts uz ekspluatācijas komplekta galveno lapu, kur LOBSHOT galu galā tiek izpildīts lietotāja ierīcē.
TA505 Infrastruktūra
TA505 , kibernoziedznieku grupējums, par kuru tiek turēts aizdomās par LOBSHOT izstrādi un izvēršanu, jau sen ir atzīts par plašām ļaunprātīgām darbībām. Šī grupa ir pazīstama ar savu labi organizēto un daudzveidīgo uzbrukumu kampaņu klāstu, īpaši koncentrējoties uz finanšu iestādēm kā to primārajiem mērķiem, kā arī paplašinot to ļaunprātīgās darbības uz citām nozarēm.
Pēc LOBSHOT analīzes Elastic Security Labs atklāja skaidru pārklāšanos starp ļaunprātīgās programmatūras infrastruktūru un iepriekš identificēto TA505 infrastruktūru. Uzbrukumu metodoloģiju līdzība un infrastruktūras pārklāšanās apstiprina hipotēzi, ka TA505 ir atbildīgs par LOBSHOT izstrādi un aktīvu izmantošanu.
Slēpta VNC piekļuve
Viens no visvairāk satraucošajiem LOBSHOT aspektiem ir tā spēja nodrošināt apdraudējuma dalībniekiem slēptu piekļuvi upuru ierīcēm, izmantojot VNC. Šī īpašā funkcija ļauj uzbrucējiem iegūt attālinātu piekļuvi inficētajai ierīcei, vienlaikus apejot lietotāja piekrišanu, nodrošinot viņiem iespēju bez lietotāja ziņas pārraudzīt, manipulēt un izfiltrēt sensitīvus datus. Slēptā VNC piekļuve padara LOBSHOT par spēcīgu un bīstamu rīku kibernoziedznieku arsenālā, jo īpaši tiem, kuriem ir finansiāla motivācija.
Izplatīšanas metode
Ir novērots, ka ļaunprātīgas programmatūras LOBSHOT izplatīšanas metode ietver maldinošu taktiku, Google Ads un viltotu vietņu izmantošanu, lai vilinātu nenojaušus upurus. Šīs metodes vēl vairāk parāda šīs ļaunprātīgās programmatūras radīto apdraudējumu izsmalcinātību un pielāgošanās spēju, padarot galalietotājiem vēl svarīgāku būt piesardzīgiem, pārlūkojot un noklikšķinot uz reklāmām.
Viltus vietnes, izmantojot Google Ads
Viens no galvenajiem LOBSHOT izplatīšanas veidiem ir viltotu vietņu izmantošana, ko reklamē Google Ads. Apdraudējumi veido un uztur šīs viltotās vietnes, kas ir izstrādātas, lai atdarinātu likumīgas vietnes un pakalpojumus. Izmantojot Google Ads platformu, pretinieki var parādīt savas ļaunprātīgās reklāmas nenojaušajiem lietotājiem, kuri var noklikšķināt uz reklāmām, radot iespaidu, ka tās ir īstas, kā rezultātā viņu ierīcēs tiek instalēta ļaunprogrammatūra LOBSHOT.
Lietotāju novirzīšana uz viltotu AnyDesk domēnu
Papildus viltotu vietņu izmantošanai, ļaunprātīgas programmatūras LOBSHOT izplatīšanas process ietver arī lietotāju novirzīšanu uz viltotu AnyDesk domēnu. AnyDesk ir populāra attālās darbvirsmas lietojumprogramma, ko daudzi uzņēmumi un privātpersonas paļaujas uz attālo piekļuvi un atbalstu. Apdraudējuma dalībnieki ir izmantojuši šīs uzticības priekšrocības, izveidojot fiktīvu AnyDesk domēnu, lai maldinātu lietotājus, lai viņi lejupielādētu ļaunprātīgu programmatūras versiju, kas patiesībā ir ļaunprogrammatūra LOBSHOT. Šī metode vēl vairāk izceļ šo kibernoziedznieku viltīgo taktiku, lai ievilinātu upurus un veiktu viņu ļaunprātīgās darbības.
Instalēšana, izmantojot kompromitētu sistēmu
Dažos gadījumos ļaunprātīgu programmatūru LOBSHOT var instalēt upura ierīcē, izmantojot apdraudētu sistēmu. Tas var notikt, ja lietotājs neapzināti apmeklē vai lejupielādē saturu no vietnes, kas ir inficēta ar ļaunprātīgu programmatūru, vai ja viņš ir kļuvis par pikšķerēšanas kampaņas mērķi. Kad ļaunprogrammatūra ir veiksmīgi iefiltrējusies upura ierīcē, tā var piešķirt slēptu VNC piekļuvi draudu izpildītājam, kurš pēc tam var attālināti kontrolēt un manipulēt ar sistēmu, kā to vēlas.
LOBSHOT iespējas
Ļaunprātīgajai LOBSHOT programmatūrai ir virkne milzīgu iespēju, kas padara to prasmīgu lietotāju ierīču iefiltrēšanai un izmantošanai. Ļaunprātīga programmatūra galvenokārt koncentrējas uz slēpto virtuālo tīklu skaitļošanu (hVNC), ļaujot uzbrucējiem attālināti vadīt inficētās ierīces un piekļūt to lietotāja interfeisam. LOBSHOT galvenās iespējas ietver:
Slēptā virtuālā tīkla skaitļošana (hVNC)
LOBSHOT funkcionalitātes pamatā ir tā spēja nodrošināt slēptu VNC piekļuvi cietušajām ierīcēm. Izmantojot hVNC, uzbrucējiem tiek nodrošināta slēpta metode, kā attālināti vadīt ierīci bez upura piekrišanas vai ziņas. HVNC funkcija padara LOBSHOT īpaši bīstamu, jo tā ļauj sliktiem dalībniekiem saglabāt slepenu klātbūtni apdraudētās ierīcēs, veicot dažādas nelietīgas darbības.
Ierīces tālvadības pults
LOBSHOT hVNC iespējas ļauj uzbrucējiem pilnībā kontrolēt inficētās ierīces, izpildīt komandas, veikt izmaiņas un piekļūt resursiem tā, it kā viņi būtu likumīgi lietotāji. Šis kontroles līmenis ļauj apdraudējuma dalībniekiem veikt plašu ļaunprātīgu darbību klāstu, tostarp datu izfiltrēšanu, papildu ļaunprātīgas programmatūras instalēšanu un spiegošanas kampaņu veikšanu. Iespēja attālināti vadīt cietušā ierīci uzsver būtiskos draudus, ko rada LOBSHOT.
Pilna grafiskā lietotāja saskarne (GUI)
Ļaunprātīgajai programmatūrai ir arī iespēja piekļūt pilnam mērķa ierīces grafiskajam lietotāja interfeisam (GUI), kas nozīmē, ka uzbrucējs var vizuāli mijiedarboties ar ierīces darbvirsmas vidi. Šī funkcija piešķir ļaunprogrammatūrai vēl vienu efektivitātes un kontroles līmeni, atvieglojot apdraudējuma dalībniekiem navigāciju un manipulāciju ar apdraudēto ierīci. Piekļuve pilnajai GUI ļauj uzbrucējam pārraudzīt lietotāju darbības, piekļūt sensitīvai informācijai un veikt darbības, kas attiecinātas uz likumīgo lietotāju, vēl vairāk uzsverot LOBSHOT kaitīgo ietekmi.
Seku mazināšana un bažas
Ļaunprātīga programmatūra LOBSHOT rada nopietnas bažas gan atsevišķiem lietotājiem, gan organizācijām, pateicoties tās slēptajām VNC iespējām un saistību ar finansiāli motivētiem apdraudējuma dalībniekiem, piemēram, TA505. Šo problēmu mazināšana un risināšana ietver iespējamo risku izpratni un atbilstošu aizsardzības pasākumu ieviešanu, kā arī aicinājumu ieviest stingrākus noteikumus tādām platformām kā Google Ads.
Banku un finanšu informācijas zagšana
Viena no galvenajām bažām saistībā ar LOBSHOT ir tā iespēja nozagt banku un finanšu informāciju no inficētām ierīcēm. Tā slēptā VNC piekļuve ļauj uzbrucējiem neatklātiem iefiltrēties ierīcēs, pārraudzīt lietotāju darbības un tvert sensitīvus datus, piemēram, pieteikšanās akreditācijas datus, kontu numurus un darījumu informāciju. Šādu informāciju var izmantot ekonomiska labuma gūšanai vai izmantot turpmākos uzbrukumos, piemēram, akreditācijas datu pildīšanā vai pikšķerēšanas kampaņās.
Aicina ieviest stingrāku reklāmu regulējumu Google tīklā
Reaģējot uz pieaugošajiem ļaunprogrammatūras izplatīšanas draudiem, izmantojot Google Ads, vairāki pētnieki un drošības speciālisti ir aicinājuši Google holdingkompāniju Alphabet noteikt stingrākus noteikumus reklāmu apstiprināšanai. Stingrāku reklāmu pārbaudes procesu un verifikācijas mehānismu ieviešana var palīdzēt samazināt ļaunprātīgas programmatūras, piemēram, LOBSHOT, izplatību un samazināt risku, ka nenojauš lietotāji varētu kļūt par šādu draudu upuriem. Tikmēr galalietotājiem ir jāveic piesardzības pasākumi, pārbaudot apmeklētā domēna un lejupielādējamās programmatūras likumību.