LOBSHOT मालवेयर
LOBSHOT भनिने नयाँ मालवेयर खतरा गुगल विज्ञापनहरू मार्फत वितरण गरिएको र hVNC प्रयोग गरेर विन्डोज उपकरणहरूलाई संक्रमित गर्न सक्षम भएको पाइयो। मालवेयर साइबरसुरक्षा अनुसन्धानकर्ताहरूले वैध AnyDesk रिमोट म्यानेजमेन्ट सफ्टवेयरको लागि विज्ञापनहरूद्वारा प्रचारित गरिएको देखे। यद्यपि, खराब विज्ञापनहरूले प्रयोगकर्ताहरूलाई नक्कली वेबसाइटमा लैजान्छ। यो पृष्ठ, 'amydeecke.website' ले खराब MSI फाइललाई धक्का दिन्छ जसले पावरशेल आदेश कार्यान्वयन गर्छ। लक्ष्य डाउनलोड-cdn[.]com बाट DLL डाउनलोड गर्नु हो, एक डोमेन जुन पहिले TA505/Clop ransomware समूहको साइबर आपराधिक गतिविधिहरूसँग सम्बन्धित छ।
डाउनलोड गरिएको DLL फाइल LOBSHOT मालवेयर हो र यसलाई C:\ProgramData फोल्डरमा सुरक्षित गरिएको छ, जहाँ यसलाई RunDLL32.exe द्वारा कार्यान्वयन गरिन्छ। LOBSHOT को बारेमा विवरणहरू प्रकट गर्ने एक रिपोर्ट अनुसार, अन्वेषकहरूले जुलाई 2022 देखि 500 भन्दा बढी अद्वितीय LOBSHOT नमूनाहरू अवलोकन गरेका छन्। पहिचान गरिएका नमूनाहरू सामान्यतया 32-bit DLLs वा 32-bit executables को रूपमा 93 KB देखि 124 KB बीचमा कम्पाइल गरिन्छ। उल्लङ्घन गरिएका यन्त्रहरूमा एकचोटि निष्पादित भएपछि, LOBSHOT ले Microsoft डिफेन्डर चलिरहेको छ वा छैन भनी जाँच गर्छ र पत्ता लागेको खण्डमा यसको कार्यान्वयन बन्द गर्छ।
सामग्रीको तालिका
साइबर अपराधीहरूले मालवेयर धम्कीहरू वितरण गर्न गुगल विज्ञापनहरूको शोषण गर्छन्
साइबरसुरक्षा विशेषज्ञहरूले खोज परिणामहरू मार्फत मालवेयर फैलाउन खतरा अभिनेताहरूले गुगल विज्ञापनहरूको प्रयोगमा उल्लेखनीय वृद्धि देखेका छन्। दुर्भावनापूर्ण विज्ञापन अभियानहरूमा विभिन्न वेबसाइटहरू र वैध सफ्टवेयर उत्पादनहरू, जस्तै 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus र अन्य धेरै अनुप्रयोगहरूको नक्कल समावेश थियो।
विज्ञापनहरूद्वारा दिइएको वैधानिकताको छापको बावजुद, तिनीहरूले रिडिरेक्ट गर्ने वेबसाइटहरू वास्तविक अनुप्रयोगहरू प्रदान गर्नुको सट्टा गोजी , रेडलाइन , विदार , कोबाल्ट स्ट्राइक , सेक्टोआरएटी, र रोयल र्यान्समवेयर सहित मालवेयर फैलाउन डिजाइन गरिएको हो।
LOBSHOT मालवेयरले क्रिप्टोकरन्सी विस्तार र वालेटहरूलाई लक्षित गर्दछ
यदि LOBSHOT ले माइक्रोसफ्ट डिफेन्डरको उपस्थितिको संकेत फेला पारेन भने, यो यसको धम्की दिने प्रोग्रामिङको साथ अगाडि बढ्नेछ। खतराले प्रत्येक विन्डोज बुटमा यसको स्टार्टअप सुनिश्चित गर्न रजिस्ट्री प्रविष्टिहरूलाई स्वचालित रूपमा कन्फिगर गर्नेछ। त्यसपछि LOBSHOT ले सङ्क्रमित उपकरणबाट सबै चलिरहेको प्रक्रियाहरू सहित प्रणाली जानकारी सङ्कलन र प्रसारण सुरु गर्नेछ। थप रूपमा, मालवेयरले 32 क्रोम क्रिप्टोकरन्सी वालेट विस्तारहरू, नौ एज वालेट विस्तारहरू, र 11 फायरफक्स वालेट विस्तारहरूको उपस्थिति खोज्छ।
यी विस्तारहरू पत्ता लगाएपछि, मालवेयरले C:\ProgramData फोल्डरमा फाइल कार्यान्वयन गर्दछ। यद्यपि, अन्वेषकहरू अनिश्चित छन् कि फाइलको उद्देश्य एक्स्टेन्सन डेटा वा केही अन्य हानिकारक कार्य निकाल्न हो।
यद्यपि क्रिप्टोकरन्सी विस्तारहरू सङ्कलन गर्नु मालवेयरको लागि एक साझा लक्ष्य हो, LOBSHOT मालवेयरसँग यसको संरचनामा hVNC मोड्युल पनि समावेश गरिएको छ। यस मोड्युलले खतरा अभिनेताहरूलाई टाढाबाट सावधानीपूर्वक संक्रमित उपकरण पहुँच गर्न सक्षम बनाउँछ।
LOBSHOT मालवेयरले तोडिएका यन्त्रहरूमा रिमोट पहुँच प्रदान गर्दछ
पीडितको ज्ञान बिना विन्डोज डेस्कटप कम्प्युटरलाई टाढाबाट नियन्त्रण गर्ने क्षमता hVNC (लुकेको भर्चुअल नेटवर्क कम्प्युटिङ) मोड्युलद्वारा सम्भव भएको हो।
LOBSHOT भनेर चिनिने मालवेयरले hVNC मोड्युल समावेश गर्दछ, जसले खतराकर्ताहरूलाई लुकेको डेस्कटपलाई हेरफेर गर्न सक्षम बनाउँछ मानौं तिनीहरू शारीरिक रूपमा तिनीहरूको किबोर्ड र माउस प्रयोग गरेर यसको अगाडि उपस्थित छन्।
एकपटक मोड्युल सक्रिय भएपछि, पीडितको मेसिनले लुकेको डेस्कटपको स्क्रिन क्याप्चरहरू आक्रमणकर्ताद्वारा नियन्त्रित सुन्ने ग्राहकमा प्रसारण गर्न थाल्छ। आक्रमणकारीले क्लाइन्टसँग किबोर्ड हेरफेर गरेर, बटन क्लिक गरेर, र माउसलाई यन्त्रको पूर्ण रिमोट कन्ट्रोल दिएर अन्तरक्रिया गर्न सक्छ।
hVNC द्वारा प्रदान गरिएको पूर्ण पहुँचको साथ, खतरा अभिनेताहरूले विभिन्न गतिविधिहरू गर्न सक्छन्, जस्तै आदेशहरू कार्यान्वयन गर्ने, डाटा चोरी गर्ने, र अतिरिक्त मालवेयर पेलोडहरू तैनात गर्ने।
