Złośliwe oprogramowanie LOBSHOT wykryte w ramach dochodzenia dotyczącego złośliwych reklam
Badacze z Elastic Security Labs niedawno odkryli nowe złośliwe oprogramowanie o nazwie LOBSHOT podczas dokładnego badania wzrostu liczby złośliwych kampanii. LOBSHOT jest szczególnie interesujący, ponieważ przyznaje cyberprzestępcom ukryty dostęp VNC (Virtual Network Computing) do zainfekowanych urządzeń. Naukowcy odkryli również powiązania między złośliwym oprogramowaniem a TA505, motywowaną finansowo grupą cyberprzestępczą znaną z wdrażania różnych programów ransomware i trojanów bankowych .
Spis treści
Wzrost liczby złośliwych kampanii reklamowych
Rośnie liczba złośliwych kampanii, a ich ukryty charakter utrudnia użytkownikom rozróżnienie między legalnymi i złośliwymi reklamami. Badacze bezpieczeństwa zauważyli, że wzrost ten można przypisać cyberprzestępcom sprzedającym złośliwe reklamy jako usługę, co jeszcze bardziej podkreśla znaczenie zachowania czujności podczas interakcji z reklamami online.
W trakcie swoich badań firma Elastic Security Labs zaobserwowała wyraźny wzrost liczby złośliwych kampanii wykorzystujących zestawy exploitów do atakowania określonych luk w powszechnie używanych aplikacjach. Kampanie te są coraz częściej obserwowane na kilku popularnych stronach internetowych, narażając miliony użytkowników na potencjalne zagrożenia. Zazwyczaj odwiedzający te witryny napotykają złośliwe reklamy, które po kliknięciu przekierowują do strony docelowej zestawu exploitów, na której LOBSHOT ostatecznie uruchamia się na urządzeniu użytkownika.
Infrastruktura TA505
TA505 , grupa cyberprzestępcza podejrzewana o rozwój i wdrażanie LOBSHOT, od dawna znana jest ze swojej szeroko zakrojonej szkodliwej działalności. Grupa ta znana jest z dobrze zorganizowanej i zróżnicowanej gamy kampanii ataków, w szczególności skupiających się na instytucjach finansowych jako ich głównych celach, ale także rozszerzających swoje złośliwe działania na inne branże.
Po analizie LOBSHOT firma Elastic Security Labs znalazła wyraźne nakładanie się infrastruktury złośliwego oprogramowania i wcześniej zidentyfikowanej infrastruktury TA505. Podobieństwo w metodologiach ataków i pokrywająca się infrastruktura uwiarygodnia hipotezę, że TA505 jest odpowiedzialny za rozwój i aktywne wykorzystanie LOBSHOT.
Ukryty dostęp do VNC
Jednym z najbardziej niepokojących aspektów LOBSHOT jest jego zdolność do zapewniania cyberprzestępcom ukrytego dostępu do urządzeń ofiar za pośrednictwem VNC. Ta specyficzna funkcja umożliwia atakującym uzyskanie zdalnego dostępu do zainfekowanego urządzenia z pominięciem zgody użytkownika, zapewniając im możliwość monitorowania, manipulowania i eksfiltracji poufnych danych bez wiedzy użytkownika. Ukryty dostęp VNC sprawia, że LOBSHOT jest potężnym i niebezpiecznym narzędziem w arsenale cyberprzestępców, zwłaszcza tych o motywacji finansowej.
Metoda dystrybucji
Zaobserwowano, że metoda dystrybucji złośliwego oprogramowania LOBSHOT obejmuje oszukańcze taktyki, wykorzystując Google Ads i fałszywe strony internetowe w celu zwabienia niczego niepodejrzewających ofiar. Techniki te dodatkowo demonstrują wyrafinowanie i zdolności adaptacyjne cyberprzestępców stojących za tym złośliwym oprogramowaniem, co sprawia, że jeszcze bardziej istotna jest ostrożność użytkowników końcowych podczas przeglądania i klikania reklam.
Fałszywe strony internetowe za pośrednictwem Google Ads
Jednym z głównych sposobów dystrybucji LOBSHOT jest wykorzystywanie fałszywych stron internetowych promowanych za pośrednictwem Google Ads. Przestępcy tworzą i utrzymują te fałszywe witryny internetowe, które mają naśladować legalne witryny i usługi. Wykorzystując platformę Google Ads, adwersarze mogą wyświetlać swoje złośliwe reklamy niczego niepodejrzewającym użytkownikom, którzy mogą klikać reklamy, mając wrażenie, że są one autentyczne, co prowadzi do instalacji złośliwego oprogramowania LOBSHOT na ich urządzeniach.
Przekierowywanie użytkowników do fałszywej domeny AnyDesk
Oprócz korzystania z fałszywych stron internetowych, proces dystrybucji złośliwego oprogramowania LOBSHOT obejmuje również przekierowywanie użytkowników do fałszywej domeny AnyDesk. AnyDesk to popularna aplikacja do zdalnego pulpitu, na której wiele firm i osób polega na zdalnym dostępie i wsparciu. Cyberprzestępcy wykorzystali to zaufanie, tworząc fikcyjną domenę AnyDesk, aby oszukać użytkowników w celu pobrania złośliwej wersji oprogramowania, która w rzeczywistości jest złośliwym oprogramowaniem LOBSHOT. Ta metoda jeszcze bardziej podkreśla przebiegłą taktykę stosowaną przez tych cyberprzestępców w celu usidlenia ofiar i wykonywania złośliwych działań.
Instalacja przez zainfekowany system
W niektórych przypadkach złośliwe oprogramowanie LOBSHOT może zostać zainstalowane na urządzeniu ofiary za pośrednictwem zainfekowanego systemu. Może się to zdarzyć, jeśli użytkownik nieświadomie odwiedzi lub pobierze zawartość ze strony internetowej, która została zainfekowana złośliwym oprogramowaniem lub jeśli stał się celem kampanii typu spear-phishing. Gdy szkodliwe oprogramowanie pomyślnie przeniknie do urządzenia ofiary, może udzielić atakującemu ukrytego dostępu VNC, który następnie może zdalnie kontrolować i manipulować systemem zgodnie z potrzebami.
Możliwości firmy LOBSHOT
Złośliwe oprogramowanie LOBSHOT może pochwalić się szeregiem potężnych możliwości, które czynią go ekspertem w infiltrowaniu i wykorzystywaniu urządzeń użytkowników. Szkodliwe oprogramowanie skupia się głównie na ukrytym Virtual Network Computing (hVNC), umożliwiając atakującym zdalną kontrolę zainfekowanych urządzeń i dostęp do ich interfejsu użytkownika. Podstawowe możliwości LOBSHOT obejmują:
Ukryte przetwarzanie w sieci wirtualnej (hVNC)
Sercem funkcjonalności LOBSHOT jest jego zdolność do zapewniania ukrytego dostępu VNC do urządzeń ofiary. Za pośrednictwem hVNC osoby atakujące otrzymują ukrytą metodę zdalnego sterowania urządzeniem bez zgody lub wiedzy ofiary. Funkcja hVNC sprawia, że LOBSHOT jest szczególnie niebezpieczny, ponieważ umożliwia hakerom ukradkową obecność na zaatakowanych urządzeniach podczas wykonywania różnych nikczemnych działań.
Zdalne sterowanie urządzeniem
Możliwości hVNC oferowane przez LOBSHOT umożliwiają atakującym przejęcie pełnej kontroli nad zainfekowanymi urządzeniami, wykonywanie poleceń, wprowadzanie zmian i uzyskiwanie dostępu do zasobów tak, jakby byli legalnymi użytkownikami. Ten poziom kontroli umożliwia cyberprzestępcom przeprowadzanie szerokiego zakresu złośliwych działań, w tym eksfiltrację danych, instalowanie dodatkowego złośliwego oprogramowania i prowadzenie kampanii szpiegowskich. Zdolność do zdalnego sterowania urządzeniem ofiary podkreśla poważne zagrożenie, jakie stwarza LOBSHOT.
Pełny graficzny interfejs użytkownika (GUI)
Szkodliwe oprogramowanie ma również możliwość uzyskania dostępu do pełnego graficznego interfejsu użytkownika (GUI) urządzenia docelowego, co oznacza, że osoba atakująca może wizualnie wchodzić w interakcję ze środowiskiem graficznym urządzenia. Ta funkcja dodaje kolejną warstwę wydajności i kontroli do złośliwego oprogramowania, ułatwiając atakującemu poruszanie się po zaatakowanym urządzeniu i manipulowanie nim. Dostęp do pełnego GUI umożliwia atakującemu monitorowanie działań użytkownika, dostęp do poufnych informacji i wykonywanie działań przypisanych uprawnionemu użytkownikowi, co jeszcze bardziej podkreśla złośliwość LOBSHOT.
Łagodzenie i obawy
Szkodliwe oprogramowanie LOBSHOT budzi poważne obawy zarówno indywidualnych użytkowników, jak i organizacji, ze względu na ukryte możliwości VNC i powiązanie z motywowanymi finansowo cyberprzestępcami, takimi jak TA505. Łagodzenie i rozwiązywanie tych problemów wymaga zrozumienia potencjalnych zagrożeń i wdrożenia odpowiednich środków ochronnych, a także wezwania do wprowadzenia surowszych przepisów na platformach takich jak Google Ads.
Kradzież informacji bankowych i finansowych
Jednym z głównych problemów związanych z LOBSHOT jest jego potencjał do kradzieży informacji bankowych i finansowych z zainfekowanych urządzeń. Jego ukryty dostęp VNC umożliwia atakującym niewykrywalną infiltrację urządzeń, monitorowanie działań użytkowników i przechwytywanie poufnych danych, takich jak dane logowania, numery kont i szczegóły transakcji. Takie informacje mogą zostać wykorzystane w celach ekonomicznych lub wykorzystane w dalszych atakach, takich jak fałszowanie danych uwierzytelniających lub kampanie phishingowe.
Wzywa do bardziej rygorystycznych przepisów dotyczących reklam w Google
W odpowiedzi na rosnące zagrożenie rozpowszechnianiem złośliwego oprogramowania za pośrednictwem Google Ads kilku badaczy i specjalistów ds. bezpieczeństwa wezwało Alphabet, spółkę holdingową Google, do nałożenia surowszych przepisów dotyczących zatwierdzania reklam. Wdrożenie bardziej niezawodnych procesów kontroli reklam i mechanizmów weryfikacji może pomóc zminimalizować rozprzestrzenianie się złośliwego oprogramowania, takiego jak LOBSHOT, i zmniejszyć ryzyko, że niczego nie podejrzewający użytkownicy padną ofiarą takich zagrożeń. W międzyczasie użytkownicy końcowi powinni zachować środki ostrożności, weryfikując legalność odwiedzanej domeny i pobieranego oprogramowania.