LOBSHOT Ļaunprātīga programmatūra
Ir atklāts, ka jauns ļaunprātīgas programmatūras drauds ar nosaukumu LOBSHOT tiek izplatīts, izmantojot Google Ads, un spēj inficēt Windows ierīces, izmantojot hVNC. Ļaunprātīgo programmu novēroja kiberdrošības pētnieki, kurus reklamēja reklāmas, kuras, šķiet, ir paredzētas likumīgai AnyDesk attālās pārvaldības programmatūrai. Tomēr ļaunprātīgās reklāmas novirza lietotājus uz viltotu vietni. Šī lapa "amydeecke.website" nospiež ļaunprātīgu MSI failu, kas savukārt izpilda PowerShell komandu. Mērķis ir lejupielādēt DLL no download-cdn[.]com — domēna, kas iepriekš bijis saistīts ar TA505/Clop izspiedējvīrusu grupas kibernoziedzīgajām darbībām.
Lejupielādētais DLL fails ir ļaunprogrammatūra LOBSHOT, un tas tiek saglabāts mapē C:\ProgramData, kur to izpilda RunDLL32.exe. Saskaņā ar ziņojumu, kurā tika atklāta informācija par LOBSHOT, pētnieki kopš 2022. gada jūlija ir novērojuši vairāk nekā 500 unikālu LOBSHOT paraugu. Identificētie paraugi parasti tiek apkopoti kā 32 bitu DLL vai 32 bitu izpildāmie faili, kuru lielums ir no 93 KB līdz 124 KB. Kad LOBSHOT ir izpildīts bojātajās ierīcēs, tas pārbauda, vai Microsoft Defender darbojas, un pārtrauc tā izpildi, ja tas tiek atklāts.
Satura rādītājs
Kibernoziedznieki izmanto Google reklāmas, lai izplatītu ļaunprātīgas programmatūras draudus
Kiberdrošības eksperti ir novērojuši, ka draudu dalībnieki Google reklāmas izmanto, lai izplatītu ļaunprātīgu programmatūru meklēšanas rezultātos. Ļaunprātīgās reklāmas kampaņas ietvēra dažādu vietņu un likumīgu programmatūras produktu, piemēram, 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus un vairāku citu lietojumprogrammu, imitāciju.
Neskatoties uz to, ka reklāmas rada iespaidu par likumību, vietnes, uz kurām tās novirza, patiesībā ir paredzētas ļaunprātīgas programmatūras izplatīšanai, tostarp Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT un Royal Ransomware , nevis nodrošina oriģinālas lietojumprogrammas.
LOBSHOT ļaunprogrammatūra ir vērsta uz kriptovalūtas paplašinājumiem un makiem
Ja LOBSHOT neatrod Microsoft Defender klātbūtnes pazīmes, tas turpinās draudīgo programmēšanu. Draudi automātiski konfigurēs reģistra ierakstus, lai nodrošinātu tā startēšanu katrā Windows sāknēšanas reizē. Pēc tam LOBSHOT apkopos un sāks pārsūtīt sistēmas informāciju, tostarp visus darbojošos procesus, no inficētās ierīces. Turklāt ļaunprogrammatūra meklē 32 Chrome kriptovalūtas maka paplašinājumus, deviņus Edge maka paplašinājumus un 11 Firefox maka paplašinājumus.
Atklājot šos paplašinājumus, ļaunprogrammatūra izpilda failu mapē C:\ProgramData. Tomēr pētnieki nav pārliecināti, vai faila mērķis ir iegūt paplašinājuma datus vai kādu citu kaitīgu darbību.
Lai gan kriptovalūtas paplašinājumu vākšana ir izplatīts ļaunprogrammatūras mērķis, ļaunprogrammatūras LOBSHOT struktūrā ir iekļauts arī hVNC modulis. Šis modulis ļauj apdraudējuma dalībniekiem diskrēti piekļūt inficētajai ierīcei.
Ļaunprātīga programmatūra LOBSHOT nodrošina attālo piekļuvi bojātajām ierīcēm
Iespēju attālināti vadīt Windows stacionāro datoru bez cietušā ziņas nodrošina hVNC (slēptā virtuālā tīkla skaitļošanas) modulis.
Ļaunprātīgā programmatūra, kas pazīstama kā LOBSHOT, ietver hVNC moduli, kas ļauj apdraudējuma dalībniekiem manipulēt ar slēpto darbvirsmu tā, it kā viņi fiziski atrastos tās priekšā, izmantojot tastatūru un peli.
Kad modulis ir aktivizēts, upura iekārta sāk pārsūtīt slēptās darbvirsmas ekrānuzņēmumus klausīšanās klientam, kuru kontrolē uzbrucējs. Uzbrucējs var mijiedarboties ar klientu, manipulējot ar tastatūru, noklikšķinot uz pogām un pārvietojot peli, nodrošinot viņam pilnīgu ierīces tālvadību.
Ar pilnu piekļuvi, ko nodrošina hVNC, apdraudējuma dalībnieki var veikt dažādas darbības, piemēram, izpildīt komandas, zagt datus un izvietot papildu ļaunprātīgas programmatūras slodzes.
