LOBSHOT Malware oppdaget via Malvertising Investigation
Elastic Security Labs-forskere har nylig oppdaget en ny skadelig programvare kalt LOBSHOT under deres grundige undersøkelse av en økning i malvertising-kampanjer. LOBSHOT er av spesiell interesse fordi det gir trusselaktører skjult VNC (Virtual Network Computing) tilgang til infiserte enheter. Forskerne fant også forbindelser mellom skadelig programvare og TA505, en økonomisk motivert nettkriminell gruppe kjent for å distribuere forskjellige løsepengeprogrammer og banktrojanere .
Innholdsfortegnelse
Topp i Malvertising-kampanjer
Malvertising-kampanjer har økt i antall, og deres snikende natur gjør det vanskelig for brukere å skille mellom legitime og ondsinnede annonser. Sikkerhetsforskere har observert at denne økningen kan tilskrives trusselaktører som selger malvertising-as-a-service, noe som ytterligere understreker viktigheten av å være årvåken når de samhandler med nettannonser.
Gjennom forskningen deres observerte Elastic Security Labs en fremtredende økning i malvertising-kampanjer som bruker utnyttelsessett for å målrette mot spesifikke sårbarheter i mye brukte applikasjoner. Disse kampanjene har blitt observert i økende grad på flere populære nettsteder, og utsetter millioner av brukere for potensielle trusler. Vanligvis møter besøkende på disse nettstedene feilannonsering som, når de klikkes, omdirigerer til en landingsside for utnyttelsessett hvor LOBSHOT til slutt kjøres på brukerens enhet.
TA505 Infrastruktur
TA505 , den nettkriminelle gruppen som mistenkes for å stå bak utviklingen og distribusjonen av LOBSHOT, har lenge vært anerkjent for sine omfattende ondsinnede aktiviteter. Denne gruppen er kjent for sitt velorganiserte og mangfoldige utvalg av angrepskampanjer, spesielt med fokus på finansinstitusjoner som deres primære mål, men utvider også deres ondsinnede aktiviteter til andre bransjer.
Etter analysen av LOBSHOT fant Elastic Security Labs klare overlappinger mellom skadevareens infrastruktur og tidligere identifiserte TA505-infrastruktur. Likheten i angrepsmetoder og overlappende infrastruktur gir troverdighet til hypotesen om at TA505 er ansvarlig for utvikling og aktiv bruk av LOBSHOT.
Skjult VNC-tilgang
En av de mest bekymringsfulle aspektene ved LOBSHOT er dens evne til å gi trusselaktører skjult tilgang til ofrenes enheter gjennom VNC. Denne spesifikke funksjonen lar angripere få ekstern tilgang til en infisert enhet mens de omgår brukerens samtykke, og gir dem muligheten til å overvåke, manipulere og eksfiltrere sensitive data uten brukerens viten. Den skjulte VNC-tilgangen gjør LOBSHOT til et kraftig og farlig verktøy i arsenalet av nettkriminelle, spesielt de med økonomiske motivasjoner.
Distribusjonsmetode
Distribusjonsmetoden for LOBSHOT malware har blitt observert å involvere villedende taktikk, utnyttelse av Google Ads og falske nettsteder for å lokke intetanende ofre. Disse teknikkene demonstrerer ytterligere sofistikeringen og tilpasningsevnen til trusselaktørene bak denne skadelige programvaren, noe som gjør det enda viktigere for sluttbrukere å være forsiktige når de surfer og klikker på annonser.
Falske nettsteder gjennom Google Ads
En av de viktigste måtene LOBSHOT distribueres på er gjennom bruk av falske nettsteder som markedsføres via Google Ads. Trusselaktørene oppretter og vedlikeholder disse forfalskede nettstedene, som er designet for å etterligne legitime nettsteder og tjenester. Ved å utnytte Google Ads-plattformen kan motstanderne vise sine ondsinnede annonser til intetanende brukere som kan klikke på annonsene under inntrykk av at de er ekte, noe som fører til installasjon av LOBSHOT malware på enhetene deres.
Omdirigerer brukere til falskt AnyDesk-domene
Bortsett fra å bruke falske nettsteder, innebærer distribusjonsprosessen for LOBSHOT malware også å omdirigere brukere til et forfalsket AnyDesk-domene. AnyDesk er et populært eksternt skrivebordsprogram som mange bedrifter og enkeltpersoner er avhengige av for ekstern tilgang og støtte. Trusselaktørene har utnyttet denne tilliten ved å opprette et fiktivt AnyDesk-domene for å lure brukere til å laste ned en ondsinnet versjon av programvaren, som faktisk er LOBSHOT malware. Denne metoden fremhever ytterligere den utspekulerte taktikken som brukes av disse nettkriminelle for å fange ofre og utføre deres ondsinnede aktiviteter.
Installasjon gjennom kompromittert system
I noen tilfeller kan LOBSHOT malware installeres på et offers enhet gjennom et kompromittert system. Dette kan skje hvis brukeren ubevisst besøker eller laster ned innhold fra et nettsted som har blitt infisert av skadelig programvare, eller hvis de har blitt et mål for en spyd-phishing-kampanje. Når skadevaren har infiltrert offerets enhet, kan den gi skjult VNC-tilgang til trusselaktøren, som deretter kan fjernstyre og manipulere systemet etter ønske.
LOBSHOTs evner
LOBSHOT malware har en rekke formidable evner som gjør den dyktig til å infiltrere og utnytte brukerenheter. Skadevaren fokuserer først og fremst på skjult Virtual Network Computing (hVNC), som lar angriperne fjernkontrollere infiserte enheter og få tilgang til brukergrensesnittet deres. Kjernefunksjonene til LOBSHOT inkluderer:
Skjult virtuell nettverksdatabehandling (hVNC)
I hjertet av LOBSHOTs funksjonalitet er dens kapasitet til å gi skjult VNC-tilgang til offerenheter. Gjennom hVNC får angripere en skjult metode for å fjernstyre en enhet uten samtykke eller viten fra offeret. hVNC-funksjonen gjør LOBSHOT spesielt farlig, ettersom den lar dårlige skuespillere opprettholde en snikende tilstedeværelse på kompromitterte enheter mens de utfører forskjellige uhyggelige aktiviteter.
Fjernkontroll av enheten
LOBSHOTs hVNC-funksjoner gjør det mulig for angripere å ta full kontroll over infiserte enheter, utføre kommandoer, gjøre endringer og få tilgang til ressurser som om de var den legitime brukeren. Dette kontrollnivået lar trusselaktørene utføre et bredt spekter av ondsinnede aktiviteter, inkludert dataeksfiltrering, installering av ytterligere skadelig programvare og gjennomføring av spionasjekampanjer. Evnen til å fjernstyre et offers enhet understreker den betydelige trusselen LOBSHOT utgjør.
Fullt grafisk brukergrensesnitt (GUI)
Skadevaren har også muligheten til å få tilgang til det fullstendige grafiske brukergrensesnittet (GUI) til målenheten, noe som betyr at angriperen visuelt kan samhandle med enhetens skrivebordsmiljø. Denne funksjonen legger til et nytt lag med effektivitet og kontroll til skadevare ved å gjøre det enklere for trusselaktøren å navigere og manipulere den kompromitterte enheten. Tilgangen til den fullstendige GUI-en gjør det mulig for angriperen å overvåke brukeraktiviteter, få tilgang til sensitiv informasjon og utføre handlinger som tilskrives den legitime brukeren, noe som ytterligere understreker skadeligheten til LOBSHOT.
Redusering og bekymringer
LOBSHOT skadelig programvare gir betydelige bekymringer for både individuelle brukere og organisasjoner, på grunn av dens skjulte VNC-evner og tilknytning til økonomisk motiverte trusselaktører som TA505. Å redusere og håndtere disse bekymringene innebærer å forstå de potensielle risikoene og implementere passende defensive tiltak, i tillegg til å kreve strengere reguleringer på plattformer som Google Ads.
Å stjele bank- og finansinformasjon
En av de viktigste bekymringene rundt LOBSHOT er potensialet til å stjele bank- og finansinformasjon fra infiserte enheter. Dens skjulte VNC-tilgang lar angripere infiltrere enheter uoppdaget, overvåke brukeraktiviteter og fange opp sensitive data som påloggingsinformasjon, kontonumre og transaksjonsdetaljer. Slik informasjon kan utnyttes for økonomisk gevinst eller brukes i ytterligere angrep, for eksempel legitimasjonsfylling eller phishing-kampanjer.
Etterlyser strengere annonseregulering på Google
Som svar på den økende trusselen om distribusjon av skadelig programvare gjennom Google Ads, har flere forskere og sikkerhetseksperter bedt Alphabet, Googles holdingselskap, om å innføre strengere regler for godkjenning av annonser. Implementering av mer robuste annonsescreeningsprosesser og verifiseringsmekanismer kan bidra til å minimere spredningen av skadelig programvare som LOBSHOT og redusere risikoen for at intetanende brukere blir ofre for slike trusler. I mellomtiden bør sluttbrukere ta forholdsregler ved å bekrefte legitimiteten til domenet de besøker og programvaren de laster ned.