LOBSHOT-malware
Er is ontdekt dat een nieuwe malwaredreiging, LOBSHOT genaamd, wordt verspreid via Google Ads en Windows-apparaten kan infecteren met behulp van hVNC. De malware werd waargenomen door cyberbeveiligingsonderzoekers en werd gepromoot door advertenties die leken te zijn voor de legitieme AnyDesk-software voor beheer op afstand. De kwaadaardige advertenties leiden gebruikers echter naar een nepwebsite. Deze pagina, 'amydeecke.website', pusht een kwaadaardig MSI-bestand dat op zijn beurt een PowerShell-opdracht uitvoert. Het doel is om een DLL te downloaden van download-cdn[.]com, een domein dat eerder in verband is gebracht met de cybercriminele activiteiten van de TA505/Clop-ransomwaregroep.
Het gedownloade DLL-bestand is de LOBSHOT-malware en wordt opgeslagen in de map C:\ProgramData, waar het wordt uitgevoerd door RunDLL32.exe. Volgens een rapport, dat details over LOBSHOT onthulde, hebben de onderzoekers sinds juli 2022 meer dan 500 unieke LOBSHOT-samples waargenomen. De geïdentificeerde samples zijn doorgaans gecompileerd als 32-bits DLL's of 32-bits uitvoerbare bestanden van 93 KB tot 124 KB. Eenmaal uitgevoerd op de geschonden apparaten, controleert LOBSHOT of Microsoft Defender actief is en beëindigt het de uitvoering als het wordt gedetecteerd.
Inhoudsopgave
Cybercriminelen maken gebruik van Google Ads om malwarebedreigingen te verspreiden
Cyberbeveiligingsexperts hebben een aanzienlijke stijging waargenomen in het gebruik van Google-advertenties door bedreigingsactoren om malware via zoekresultaten te verspreiden. De kwaadaardige reclamecampagnes omvatten de imitatie van verschillende websites en legitieme softwareproducten, zoals 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus en verschillende andere applicaties.
Ondanks de indruk van legitimiteit die door de advertenties wordt gewekt, zijn de websites waarnaar ze doorverwijzen in feite ontworpen om malware te verspreiden, waaronder Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT en de Royal Ransomware in plaats van echte applicaties aan te bieden.
De LOBSHOT-malware richt zich op cryptocurrency-extensies en portefeuilles
Als LOBSHOT geen tekenen vindt van de aanwezigheid van Microsoft Defender, gaat het door met zijn dreigende programmering. De dreiging zal automatisch registervermeldingen configureren om ervoor te zorgen dat deze bij elke Windows-opstart wordt opgestart. LOBSHOT verzamelt en begint met het verzenden van systeeminformatie, inclusief alle lopende processen, van het geïnfecteerde apparaat. Bovendien zoekt de malware naar de aanwezigheid van 32 Chrome-portemonnee-extensies voor cryptocurrency, negen Edge-portemonnee-extensies en 11 Firefox-portemonnee-extensies.
Bij het detecteren van deze extensies voert de malware een bestand uit in de map C:\ProgramData. Onderzoekers weten echter niet zeker of het doel van het bestand is om extensiegegevens te extraheren of een andere schadelijke actie.
Hoewel het verzamelen van cryptocurrency-extensies een gemeenschappelijk doel is voor malware, heeft de LOBSHOT-malware ook een hVNC-module ingebouwd in zijn structuur. Met deze module kunnen bedreigingsactoren op afstand discreet toegang krijgen tot een geïnfecteerd apparaat.
De LOBSHOT-malware biedt externe toegang tot de geschonden apparaten
De mogelijkheid om een Windows-desktopcomputer op afstand te bedienen zonder medeweten van het slachtoffer wordt mogelijk gemaakt door de hVNC-module (hidden virtual network computing).
De malware die bekend staat als LOBSHOT bevat een hVNC-module, waarmee de aanvallers het verborgen bureaublad kunnen manipuleren alsof ze er fysiek voor staan, met behulp van hun toetsenbord en muis.
Zodra de module is geactiveerd, begint de machine van het slachtoffer met het verzenden van schermafbeeldingen van het verborgen bureaublad naar een luisterende client die wordt beheerd door de aanvaller. De aanvaller kan communiceren met de client door het toetsenbord te manipuleren, op knoppen te klikken en de muis te bewegen, waardoor ze het apparaat volledig op afstand kunnen bedienen.
Met volledige toegang verleend door hVNC kunnen de bedreigingsactoren verschillende activiteiten uitvoeren, zoals het uitvoeren van opdrachten, het stelen van gegevens en het inzetten van aanvullende malware-payloads.
