LOBSHOT skadelig programvare
En ny trussel mot skadelig programvare kalt LOBSHOT har blitt distribuert gjennom Google Ads og er i stand til å infisere Windows-enheter ved hjelp av hVNC. Skadevaren ble observert av cybersikkerhetsforskere som ble promotert av annonser som ser ut til å være for den legitime AnyDesk-programvaren for fjernadministrasjon. Imidlertid fører de ondsinnede annonsene i stedet brukere til et falskt nettsted. Denne siden, 'amydeecke.website', skyver en ondsinnet MSI-fil som i sin tur utfører en PowerShell-kommando. Målet er å laste ned en DLL fra download-cdn[.]com, et domene som tidligere har vært assosiert med de cyberkriminelle aktivitetene til TA505/Clop ransomware-gruppen.
Den nedlastede DLL-filen er LOBSHOT malware og lagres i mappen C:\ProgramData, der den kjøres av RunDLL32.exe. Ifølge en rapport, som avslørte detaljer om LOBSHOT, har forskerne observert over 500 unike LOBSHOT-prøver siden juli 2022. De identifiserte prøvene er vanligvis kompilert som 32-biters DLL-er eller 32-biters kjørbare filer fra 93 KB til 124 KB. Når den er utført på enhetene som brytes, sjekker LOBSHOT om Microsoft Defender kjører og avslutter kjøringen hvis den oppdages.
Innholdsfortegnelse
Nettkriminelle utnytter Google Ads for å distribuere trusler mot skadelig programvare
Eksperter på nettsikkerhet har observert en betydelig økning i bruken av Google-annonser av trusselaktører for å spre skadelig programvare gjennom søkeresultater. De ondsinnede reklamekampanjene involverte etterligning av ulike nettsteder og legitime programvareprodukter, som 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus og flere andre applikasjoner.
Til tross for inntrykket av legitimitet gitt av annonsene, er nettstedene de omdirigerer til faktisk designet for å spre skadelig programvare, inkludert Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT og Royal Ransomware i stedet for å tilby ekte applikasjoner.
LOBSHOT-malwaren retter seg mot kryptovaluta-utvidelser og lommebøker
Hvis LOBSHOT ikke finner tegn på Microsoft Defenders tilstedeværelse, vil den fortsette med sin truende programmering. Trusselen vil automatisk konfigurere registeroppføringer for å sikre oppstart ved hver Windows-oppstart. LOBSHOT vil deretter samle inn og begynne å overføre systeminformasjon, inkludert alle kjørende prosesser, fra den infiserte enheten. I tillegg ser skadevaren etter tilstedeværelsen av 32 Chrome-lommebokutvidelser for kryptovaluta, ni Edge-lommebokutvidelser og 11 Firefox-lommebokutvidelser.
Ved å oppdage disse utvidelsene, kjører skadelig programvare en fil i mappen C:\ProgramData. Forskere er imidlertid usikre på om formålet med filen er å trekke ut data om utvidelsen eller en annen skadelig handling.
Selv om innsamling av kryptovalutautvidelser er et vanlig mål for skadelig programvare, har LOBSHOT malware også en hVNC-modul integrert i strukturen. Denne modulen gjør det mulig for trusselaktører å få tilgang til en infisert enhet eksternt diskret.
LOBSHOT-skadelig programvare gir ekstern tilgang til enhetene som brytes
Muligheten til å fjernstyre en stasjonær Windows-datamaskin uten offerets viten er muliggjort av hVNC-modulen (hidden virtual network computing).
Skadevaren kjent som LOBSHOT inkluderer en hVNC-modul, som gjør det mulig for trusselaktørene å manipulere det skjulte skrivebordet som om de var fysisk til stede foran det, ved å bruke tastaturet og musen.
Når modulen er aktivert, begynner offerets maskin å overføre skjermbilder av det skjulte skrivebordet til en lyttende klient kontrollert av angriperen. Angriperen kan samhandle med klienten ved å manipulere tastaturet, klikke på knapper og flytte musen, noe som gir dem fullstendig fjernkontroll av enheten.
Med full tilgang gitt av hVNC, kan trusselaktørene utføre ulike aktiviteter, som å utføre kommandoer, stjele data og distribuere ytterligere skadelig programvare.
