LOBSHOT Malware
Ancaman perisian hasad baharu yang dipanggil LOBSHOT telah didapati diedarkan melalui Google Ads dan mampu menjangkiti peranti Windows menggunakan hVNC. Malware itu diperhatikan oleh penyelidik keselamatan siber yang dipromosikan oleh iklan yang kelihatan untuk perisian pengurusan jauh AnyDesk yang sah. Walau bagaimanapun, iklan berniat jahat sebaliknya membawa pengguna ke tapak web palsu. Halaman ini, 'amydeecke.website,' menolak fail MSI berniat jahat yang, seterusnya, melaksanakan perintah PowerShell. Matlamatnya adalah untuk memuat turun DLL daripada download-cdn[.]com, domain yang sebelum ini dikaitkan dengan aktiviti jenayah siber kumpulan perisian tebusan TA505/Clop.
Fail DLL yang dimuat turun ialah perisian hasad LOBSHOT dan disimpan dalam folder C:\ProgramData, di mana ia dilaksanakan oleh RunDLL32.exe. Menurut laporan, yang mendedahkan butiran tentang LOBSHOT, para penyelidik telah memerhati lebih 500 sampel LOBSHOT unik sejak Julai 2022. Sampel yang dikenal pasti biasanya disusun sebagai DLL 32-bit atau boleh laku 32-bit antara 93 KB hingga 124 KB. Setelah dilaksanakan pada peranti yang dilanggar, LOBSHOT menyemak sama ada Microsoft Defender sedang berjalan dan menamatkan pelaksanaannya jika dikesan.
Isi kandungan
Penjenayah Siber Mengeksploitasi Google Ads untuk Mengedarkan Ancaman Perisian Hasad
Pakar keselamatan siber telah melihat lonjakan besar dalam penggunaan iklan Google oleh pelaku ancaman untuk menyebarkan perisian hasad melalui hasil carian. Kempen pengiklanan berniat jahat melibatkan peniruan pelbagai laman web dan produk perisian yang sah, seperti 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus dan beberapa aplikasi lain.
Walaupun terdapat tanggapan kesahihan yang diberikan oleh iklan, tapak web yang mereka ubah hala sebenarnya direka untuk menyebarkan perisian hasad, termasuk Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT dan Royal Ransomware dan bukannya menyediakan aplikasi tulen.
Perisian Hasad LOBSHOT Mensasarkan Sambungan dan Dompet Matawang Kripto
Jika LOBSHOT tidak menemui tanda-tanda kehadiran Microsoft Defender, ia akan meneruskan pengaturcaraan yang mengancamnya. Ancaman akan secara automatik mengkonfigurasi entri Registry untuk memastikan permulaannya pada setiap but Windows. LOBSHOT kemudiannya akan mengumpul dan mula menghantar maklumat sistem, termasuk semua proses yang sedang berjalan, daripada peranti yang dijangkiti. Selain itu, perisian hasad mencari kehadiran 32 sambungan dompet cryptocurrency Chrome, sembilan sambungan dompet Edge dan 11 sambungan dompet Firefox.
Setelah mengesan sambungan ini, perisian hasad melaksanakan fail dalam folder C:\ProgramData. Walau bagaimanapun, penyelidik tidak pasti sama ada tujuan fail adalah untuk mengekstrak data sambungan atau beberapa tindakan berbahaya yang lain.
Walaupun mengumpul sambungan mata wang kripto adalah matlamat biasa untuk perisian hasad, perisian hasad LOBSHOT juga mempunyai modul hVNC yang digabungkan ke dalam strukturnya. Modul ini membolehkan pelaku ancaman mengakses peranti yang dijangkiti dari jauh secara diam-diam.
Perisian Hasad LOBSHOT Menyediakan Akses Jauh kepada Peranti Yang Dilanggar
Keupayaan untuk mengawal komputer desktop Windows dari jauh tanpa pengetahuan mangsa dimungkinkan oleh modul hVNC (pengkomputeran rangkaian maya tersembunyi).
Malware yang dikenali sebagai LOBSHOT termasuk modul hVNC, yang membolehkan pelaku ancaman memanipulasi desktop tersembunyi seolah-olah mereka berada secara fizikal di hadapannya, menggunakan papan kekunci dan tetikus mereka.
Sebaik sahaja modul diaktifkan, mesin mangsa mula menghantar tangkapan skrin desktop tersembunyi kepada klien mendengar yang dikawal oleh penyerang. Penyerang boleh berinteraksi dengan klien dengan memanipulasi papan kekunci, mengklik butang dan menggerakkan tetikus, memberikan mereka kawalan jauh peranti yang lengkap.
Dengan akses penuh yang diberikan oleh hVNC, pelaku ancaman boleh menjalankan pelbagai aktiviti, seperti melaksanakan arahan, mencuri data dan menggunakan muatan perisian hasad tambahan.
