Kortingen op meerdere licenties
Computer Security LOBSHOT-malware ontdekt via onderzoek naar malvertising

LOBSHOT-malware ontdekt via onderzoek naar malvertising

Tegen Mura in Computer Security
Vertalen naar:
Nederlands

Onderzoekers van Elastic Security Labs hebben onlangs een nieuwe malware ontdekt, LOBSHOT genaamd, tijdens hun grondige onderzoek naar een toename van malvertisingcampagnes. LOBSHOT is met name interessant omdat het bedreigingsactoren verborgen VNC (Virtual Network Computing) toegang geeft tot geïnfecteerde apparaten. De onderzoekers vonden ook verbanden tussen de malware en TA505, een financieel gemotiveerde cybercriminele groep die bekend staat om het inzetten van verschillende ransomware en banktrojans .

Piek in malvertisingcampagnes

Malvertising-campagnes nemen in aantal toe en hun onopvallende karakter maakt het voor gebruikers moeilijk onderscheid te maken tussen legitieme en kwaadaardige advertenties. Beveiligingsonderzoekers hebben opgemerkt dat deze stijging kan worden toegeschreven aan bedreigingsactoren die malvertising-as-a-service verkopen, wat nog eens benadrukt hoe belangrijk het is om waakzaam te zijn bij interactie met online advertenties.

Tijdens hun onderzoek constateerde Elastic Security Labs een opvallende piek in malvertisingcampagnes die gebruikmaken van exploitkits om specifieke kwetsbaarheden in veelgebruikte applicaties aan te pakken. Deze campagnes worden steeds vaker waargenomen op verschillende populaire websites, waardoor miljoenen gebruikers worden blootgesteld aan potentiële bedreigingen. Doorgaans komen bezoekers van deze websites malvertisements tegen die, wanneer erop wordt geklikt, omleiden naar een bestemmingspagina van een exploitkit waar LOBSHOT uiteindelijk wordt uitgevoerd op het apparaat van de gebruiker.

TA505 Infrastructuur

TA505 , de cybercriminele groep die ervan wordt verdacht achter de ontwikkeling en implementatie van LOBSHOT te zitten, staat al lang bekend om zijn uitgebreide kwaadaardige activiteiten. Deze groep staat bekend om zijn goed georganiseerde en diverse reeks aanvalscampagnes, die zich specifiek richten op financiële instellingen als hun primaire doelwit, maar ook hun kwaadaardige activiteiten uitbreiden naar andere bedrijfstakken.

Na de analyse van LOBSHOT vond Elastic Security Labs duidelijke overlappingen tussen de infrastructuur van de malware en de eerder geïdentificeerde TA505-infrastructuur. De gelijkenis in aanvalsmethodologieën en overlappende infrastructuur geeft geloof aan de hypothese dat TA505 verantwoordelijk is voor de ontwikkeling en het actieve gebruik van LOBSHOT.

Verborgen VNC-toegang

Een van de meest zorgwekkende aspecten van LOBSHOT is de mogelijkheid om bedreigingsactoren verborgen toegang te verlenen tot de apparaten van slachtoffers via VNC. Met deze specifieke functie kunnen aanvallers op afstand toegang krijgen tot een geïnfecteerd apparaat terwijl ze de toestemming van de gebruiker omzeilen, waardoor ze gevoelige gegevens kunnen controleren, manipuleren en exfiltreren zonder medeweten van de gebruiker. De verborgen VNC-toegang maakt LOBSHOT tot een krachtige en gevaarlijke tool in het arsenaal van cybercriminelen, vooral degenen met financiële motieven.

Distributiemethode

Er is waargenomen dat de distributiemethode van LOBSHOT-malware misleidende tactieken inhoudt, waarbij Google-advertenties en nepwebsites worden gebruikt om nietsvermoedende slachtoffers te lokken. Deze technieken demonstreren verder de verfijning en het aanpassingsvermogen van de bedreigingsactoren achter deze malware, waardoor het voor eindgebruikers nog belangrijker wordt om voorzichtig te zijn bij het browsen en klikken op advertenties.

Nepwebsites via Google Ads

Een van de belangrijkste manieren waarop LOBSHOT wordt verspreid, is via het gebruik van nepwebsites die worden gepromoot via Google Ads. De aanvallers maken en onderhouden deze namaakwebsites, die zijn ontworpen om legitieme websites en services na te bootsen. Door het Google Ads-platform te misbruiken, kunnen de kwaadwillenden hun kwaadaardige advertenties weergeven aan nietsvermoedende gebruikers die op de advertenties kunnen klikken in de veronderstelling dat ze echt zijn, wat leidt tot de installatie van de LOBSHOT-malware op hun apparaten.

Gebruikers omleiden naar nep AnyDesk-domein

Naast het gebruik van nepwebsites, omvat het distributieproces voor LOBSHOT-malware ook het omleiden van gebruikers naar een vals AnyDesk-domein. AnyDesk is een populaire remote desktop-applicatie waarop veel bedrijven en particulieren vertrouwen voor externe toegang en ondersteuning. De aanvallers hebben misbruik gemaakt van dit vertrouwen door een fictief AnyDesk-domein te creëren om gebruikers te misleiden zodat ze een kwaadaardige versie van de software downloaden, wat eigenlijk LOBSHOT-malware is. Deze methode benadrukt nog eens de sluwe tactieken die deze cybercriminelen gebruiken om slachtoffers in de val te lokken en hun kwaadaardige activiteiten uit te voeren.

Installatie via gecompromitteerd systeem

In sommige gevallen kan de LOBSHOT-malware via een gecompromitteerd systeem op het apparaat van een slachtoffer worden geïnstalleerd. Dit kan gebeuren als de gebruiker zonder het te weten inhoud bezoekt of downloadt van een website die is geïnfecteerd met de malware of als deze het doelwit is geworden van een spear-phishing-campagne. Zodra de malware met succes het apparaat van het slachtoffer heeft geïnfiltreerd, kan het verborgen VNC-toegang verlenen aan de bedreigingsactor, die het systeem vervolgens op afstand kan besturen en naar wens kan manipuleren.

De mogelijkheden van LOBSHOT

LOBSHOT-malware beschikt over een reeks formidabele mogelijkheden die het bedreven maken in het infiltreren en exploiteren van gebruikersapparaten. De malware richt zich voornamelijk op verborgen Virtual Network Computing (hVNC), waardoor de aanvallers geïnfecteerde apparaten op afstand kunnen bedienen en toegang kunnen krijgen tot hun gebruikersinterface. De kernmogelijkheden van LOBSHOT omvatten:

Verborgen virtuele netwerkcomputing (hVNC)

De kern van de functionaliteit van LOBSHOT is het vermogen om verborgen VNC-toegang te bieden tot apparaten van slachtoffers. Via hVNC krijgen aanvallers een geheime methode om een apparaat op afstand te bedienen zonder toestemming of medeweten van het slachtoffer. De hVNC-functie maakt LOBSHOT bijzonder gevaarlijk, omdat kwaadwillenden hierdoor onopvallend aanwezig kunnen blijven op gecompromitteerde apparaten terwijl ze verschillende snode activiteiten uitvoeren.

Afstandsbediening van het apparaat

De hVNC-mogelijkheden van LOBSHOT stellen aanvallers in staat om de volledige controle over geïnfecteerde apparaten over te nemen, opdrachten uit te voeren, wijzigingen aan te brengen en toegang te krijgen tot bronnen alsof ze de legitieme gebruiker zijn. Dit niveau van controle stelt de bedreigingsactoren in staat om een breed scala aan kwaadaardige activiteiten uit te voeren, waaronder data-exfiltratie, het installeren van extra malware en het uitvoeren van spionagecampagnes. De mogelijkheid om het apparaat van een slachtoffer op afstand te bedienen, onderstreept de grote dreiging die uitgaat van LOBSHOT.

Volledige grafische gebruikersinterface (GUI)

De malware heeft ook de mogelijkheid om toegang te krijgen tot de volledige grafische gebruikersinterface (GUI) van het doelapparaat, wat betekent dat de aanvaller visueel kan communiceren met de desktopomgeving van het apparaat. Deze functie voegt een extra laag van efficiëntie en controle toe aan de malware door het voor de bedreigingsactor gemakkelijker te maken om door het gecompromitteerde apparaat te navigeren en het te manipuleren. De toegang tot de volledige GUI stelt de aanvaller in staat om gebruikersactiviteiten te volgen, toegang te krijgen tot gevoelige informatie en acties uit te voeren die zijn toegeschreven aan de legitieme gebruiker, wat de verderfelijkheid van LOBSHOT nog eens benadrukt.

Beperking en zorgen

LOBSHOT-malware levert grote zorgen op voor zowel individuele gebruikers als organisaties, vanwege de verborgen VNC-mogelijkheden en associatie met financieel gemotiveerde bedreigingsactoren zoals TA505. Om deze zorgen te verminderen en aan te pakken, moet u de potentiële risico's begrijpen en passende defensieve maatregelen nemen, evenals aandringen op strengere regelgeving op platforms zoals Google Ads.

Het stelen van bank- en financiële informatie

Een van de belangrijkste zorgen rond LOBSHOT is het potentieel om bank- en financiële informatie van geïnfecteerde apparaten te stelen. Dankzij de verborgen VNC-toegang kunnen aanvallers onopgemerkt apparaten infiltreren, gebruikersactiviteiten monitoren en gevoelige gegevens vastleggen, zoals inloggegevens, rekeningnummers en transactiegegevens. Dergelijke informatie kan worden uitgebuit voor economisch gewin of worden gebruikt bij verdere aanvallen, zoals credential stuffing of phishing-campagnes.

Roept op tot strengere advertentieregulering op Google

Als reactie op de groeiende dreiging van malwareverspreiding via Google Ads, hebben verschillende onderzoekers en beveiligingsprofessionals Alphabet, de holdingmaatschappij van Google, opgeroepen om strengere regels op te leggen voor de goedkeuring van advertenties. Door robuustere processen voor het screenen van advertenties en verificatiemechanismen te implementeren, kan de verspreiding van malware zoals LOBSHOT tot een minimum worden beperkt en kan het risico worden verkleind dat nietsvermoedende gebruikers het slachtoffer worden van dergelijke bedreigingen. In de tussentijd moeten eindgebruikers voorzorgsmaatregelen nemen door de legitimiteit te verifiëren van het domein dat ze bezoeken en de software die ze downloaden.

Bezig met laden...