Perisian Hasad LOBSHOT Ditemui melalui Siasatan Malvertising
Penyelidik Elastic Security Labs baru-baru ini menemui perisian hasad baharu yang dipanggil LOBSHOT semasa penyiasatan menyeluruh mereka tentang peningkatan dalam kempen malvertising. LOBSHOT sangat diminati kerana ia memberikan akses VNC (Pengkomputeran Rangkaian Maya) tersembunyi kepada pelakon ancaman kepada peranti yang dijangkiti. Para penyelidik juga menemui hubungan antara perisian hasad dan TA505, kumpulan penjenayah siber bermotivasi kewangan yang terkenal kerana menggunakan pelbagai perisian tebusan dan trojan perbankan .
Isi kandungan
Lonjakan dalam Kempen Malvertising
Kempen malvertising telah berkembang bilangannya, dan sifat penyamarannya menyukarkan pengguna untuk membezakan antara iklan yang sah dan berniat jahat. Penyelidik keselamatan mendapati bahawa kenaikan ini mungkin dikaitkan dengan pelaku ancaman yang menjual malvertising-sebagai-perkhidmatan, seterusnya menyerlahkan kepentingan berwaspada apabila berinteraksi dengan iklan dalam talian.
Sepanjang penyelidikan mereka, Elastic Security Labs memerhatikan lonjakan ketara dalam kempen malvertising yang menggunakan kit eksploitasi untuk menyasarkan kelemahan tertentu dalam aplikasi yang digunakan secara meluas. Kempen ini semakin diperhatikan di beberapa tapak web popular, mendedahkan berjuta-juta pengguna kepada potensi ancaman. Lazimnya, pelawat tapak web ini menghadapi penyelewengan yang, apabila diklik, mengubah hala ke halaman pendaratan kit eksploitasi di mana LOBSHOT akhirnya melaksanakan pada peranti pengguna.
TA505 Infrastruktur
TA505 , kumpulan penjenayah siber yang disyaki berada di belakang pembangunan dan penggunaan LOBSHOT, telah lama diiktiraf kerana aktiviti jahatnya yang meluas. Kumpulan ini terkenal dengan rangkaian kempen serangan yang teratur dan pelbagai, khususnya memfokuskan kepada institusi kewangan sebagai sasaran utama mereka tetapi juga meluaskan aktiviti jahat mereka kepada industri lain.
Berikutan analisis LOBSHOT, Elastic Security Labs menemui pertindihan yang jelas antara infrastruktur perisian hasad dan infrastruktur TA505 yang dikenal pasti sebelum ini. Persamaan dalam metodologi serangan dan infrastruktur bertindih memberikan kepercayaan kepada hipotesis bahawa TA505 bertanggungjawab untuk pembangunan dan penggunaan aktif LOBSHOT.
Akses VNC Tersembunyi
Salah satu aspek yang paling membimbangkan LOBSHOT ialah keupayaannya untuk memberikan akses tersembunyi kepada pelakon ancaman kepada peranti mangsa melalui VNC. Ciri khusus ini membolehkan penyerang mendapat akses jauh ke peranti yang dijangkiti sambil memintas persetujuan pengguna, memberikan mereka keupayaan untuk memantau, memanipulasi dan mengeluarkan data sensitif tanpa pengetahuan pengguna. Akses VNC yang tersembunyi menjadikan LOBSHOT sebagai alat yang berkuasa dan berbahaya dalam senjata penjenayah siber, terutamanya mereka yang mempunyai motivasi kewangan.
Kaedah Pengedaran
Kaedah pengedaran perisian hasad LOBSHOT telah diperhatikan melibatkan taktik memperdaya, memanfaatkan Google Ads dan tapak web palsu untuk menarik mangsa yang tidak curiga. Teknik ini menunjukkan lagi kecanggihan dan kebolehsuaian pelaku ancaman di sebalik perisian hasad ini, menjadikannya lebih kritikal bagi pengguna akhir untuk berhati-hati semasa menyemak imbas dan mengklik pada iklan.
Laman Web Palsu melalui Google Ads
Salah satu cara utama LOBSHOT diedarkan adalah melalui penggunaan tapak web palsu yang dipromosikan melalui Google Ads. Aktor ancaman mencipta dan menyelenggara laman web palsu ini, yang direka bentuk untuk meniru tapak web dan perkhidmatan yang sah. Dengan mengeksploitasi platform Google Ads, pihak lawan boleh memaparkan iklan berniat jahat mereka kepada pengguna yang tidak mengesyaki yang mungkin mengklik pada iklan tersebut di bawah tanggapan bahawa iklan tersebut adalah tulen, yang membawa kepada pemasangan perisian hasad LOBSHOT pada peranti mereka.
Mengubah hala Pengguna ke Domain AnyDesk Palsu
Selain daripada menggunakan tapak web palsu, proses pengedaran untuk perisian hasad LOBSHOT juga melibatkan pengalihan pengguna ke domain AnyDesk palsu. AnyDesk ialah aplikasi desktop jauh yang popular yang banyak perniagaan dan individu bergantung pada akses dan sokongan jauh. Aktor ancaman telah mengambil kesempatan daripada kepercayaan ini dengan mencipta domain AnyDesk rekaan untuk memperdaya pengguna supaya memuat turun versi perisian hasad, yang sebenarnya adalah perisian hasad LOBSHOT. Kaedah ini menyerlahkan lagi taktik licik yang digunakan oleh penjenayah siber ini untuk menjerat mangsa dan melaksanakan aktiviti jahat mereka.
Pemasangan melalui Sistem Terkompromi
Dalam sesetengah kes, perisian hasad LOBSHOT boleh dipasang pada peranti mangsa melalui sistem yang terjejas. Ini mungkin berlaku jika pengguna secara tidak sedar melawat atau memuat turun kandungan daripada tapak web yang telah dijangkiti oleh perisian hasad atau jika mereka telah menjadi sasaran kempen pancingan lembing. Sebaik sahaja perisian hasad telah berjaya menyusup ke peranti mangsa, ia boleh memberikan akses VNC tersembunyi kepada pelakon ancaman, yang kemudiannya boleh mengawal dan memanipulasi sistem dari jauh seperti yang dikehendaki.
Keupayaan LOBSHOT
Malware LOBSHOT menawarkan pelbagai keupayaan hebat yang menjadikannya mahir dalam menyusup dan mengeksploitasi peranti pengguna. Perisian hasad memberi tumpuan terutamanya pada Pengkomputeran Rangkaian Maya (hVNC) tersembunyi, yang membolehkan penyerang mengawal peranti yang dijangkiti dari jauh dan mengakses antara muka pengguna mereka. Keupayaan teras LOBSHOT termasuk:
Pengkomputeran Rangkaian Maya Tersembunyi (hVNC)
Di tengah-tengah kefungsian LOBSHOT ialah kapasitinya untuk menyediakan akses VNC tersembunyi kepada peranti mangsa. Melalui hVNC, penyerang diberikan kaedah rahsia untuk mengawal peranti dari jauh tanpa kebenaran atau pengetahuan mangsa. Ciri hVNC menjadikan LOBSHOT amat berbahaya, kerana ia membenarkan pelakon jahat mengekalkan kehadiran senyap pada peranti yang terjejas semasa menjalankan pelbagai aktiviti jahat.
Kawalan Jauh Peranti
Keupayaan hVNC LOBSHOT membolehkan penyerang mengawal sepenuhnya peranti yang dijangkiti, melaksanakan arahan, membuat perubahan dan mengakses sumber seolah-olah mereka adalah pengguna yang sah. Tahap kawalan ini membolehkan pelaku ancaman menjalankan pelbagai aktiviti berniat jahat, termasuk penyusutan data, memasang perisian hasad tambahan dan menjalankan kempen pengintipan. Keupayaan untuk mengawal peranti mangsa dari jauh menggariskan ancaman ketara yang ditimbulkan oleh LOBSHOT.
Antara Muka Pengguna Grafik Penuh (GUI)
Perisian hasad juga mempunyai keupayaan untuk mengakses antara muka pengguna grafik penuh (GUI) peranti sasaran, yang bermaksud penyerang boleh berinteraksi secara visual dengan persekitaran desktop peranti. Ciri ini menambah satu lagi lapisan kecekapan dan kawalan kepada perisian hasad dengan memudahkan pelaku ancaman menavigasi dan memanipulasi peranti yang terjejas. Akses kepada GUI penuh membolehkan penyerang memantau aktiviti pengguna, mengakses maklumat sensitif dan melakukan tindakan yang dikaitkan dengan pengguna yang sah, seterusnya menekankan keburukan LOBSHOT.
Mitigasi dan Kebimbangan
Perisian hasad LOBSHOT memberikan kebimbangan yang ketara kepada pengguna dan organisasi individu, disebabkan keupayaan VNC yang tersembunyi dan kaitannya dengan pelaku ancaman yang bermotivasikan kewangan seperti TA505. Mitigasi dan menangani kebimbangan ini melibatkan pemahaman tentang potensi risiko dan melaksanakan langkah pertahanan yang sesuai, serta meminta peraturan yang lebih ketat pada platform seperti Google Ads.
Mencuri Maklumat Perbankan dan Kewangan
Salah satu kebimbangan utama di sekeliling LOBSHOT ialah potensinya untuk mencuri maklumat perbankan dan kewangan daripada peranti yang dijangkiti. Akses VNC tersembunyinya membolehkan penyerang menyusup ke peranti tanpa dikesan, memantau aktiviti pengguna dan menangkap data sensitif seperti bukti kelayakan log masuk, nombor akaun dan butiran transaksi. Maklumat sedemikian boleh dieksploitasi untuk keuntungan ekonomi atau digunakan dalam serangan selanjutnya, seperti pemadat kelayakan atau kempen pancingan data.
Seruan untuk Peraturan Iklan yang Lebih Ketat di Google
Sebagai tindak balas kepada ancaman pengedaran perisian hasad yang semakin meningkat melalui Google Ads, beberapa penyelidik dan profesional keselamatan telah meminta Alphabet, syarikat induk Google, untuk mengenakan peraturan yang lebih ketat ke atas kelulusan iklan. Melaksanakan proses penyaringan iklan dan mekanisme pengesahan yang lebih mantap boleh membantu meminimumkan penyebaran perisian hasad seperti LOBSHOT dan mengurangkan risiko pengguna yang tidak mengesyaki menjadi mangsa ancaman sedemikian. Sementara itu, pengguna akhir harus mengambil langkah berjaga-jaga dengan mengesahkan kesahihan domain yang mereka lawati dan perisian yang mereka muat turun.