Złośliwe oprogramowanie LOBSHOT
Wykryto, że nowe zagrożenie złośliwym oprogramowaniem o nazwie LOBSHOT jest rozpowszechniane za pośrednictwem Google Ads i może infekować urządzenia z systemem Windows za pomocą hVNC. Złośliwe oprogramowanie zostało zaobserwowane przez badaczy cyberbezpieczeństwa, które było promowane przez reklamy legalnego oprogramowania do zdalnego zarządzania AnyDesk. Jednak złośliwe reklamy zamiast tego prowadzą użytkowników do fałszywej strony internetowej. Ta strona „amydeecke.website” przesyła szkodliwy plik MSI, który z kolei wykonuje polecenie PowerShell. Celem jest pobranie biblioteki DLL z download-cdn[.]com, domeny, która wcześniej była powiązana z cyberprzestępczą działalnością grupy ransomware TA505/Clop.
Pobrany plik DLL jest złośliwym oprogramowaniem LOBSHOT i jest zapisywany w folderze C:\ProgramData, gdzie jest wykonywany przez RunDLL32.exe. Według raportu, który ujawnił szczegółowe informacje na temat LOBSHOT, naukowcy zaobserwowali ponad 500 unikalnych próbek LOBSHOT od lipca 2022 r. Zidentyfikowane próbki są zwykle kompilowane jako 32-bitowe biblioteki DLL lub 32-bitowe pliki wykonywalne o wielkości od 93 KB do 124 KB. Po uruchomieniu na zaatakowanych urządzeniach LOBSHOT sprawdza, czy usługa Microsoft Defender jest uruchomiona i przerywa jej wykonywanie, jeśli zostanie wykryta.
Spis treści
Cyberprzestępcy wykorzystują reklamy Google do rozpowszechniania zagrożeń złośliwym oprogramowaniem
Eksperci ds. cyberbezpieczeństwa zaobserwowali znaczny wzrost wykorzystania reklam Google przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania za pośrednictwem wyników wyszukiwania. Złośliwe kampanie reklamowe obejmowały imitacje różnych stron internetowych i legalnych produktów oprogramowania, takich jak 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus i kilka innych aplikacji.
Pomimo wrażenia, że reklamy są uzasadnione, witryny, do których przekierowują, są w rzeczywistości przeznaczone do rozpowszechniania złośliwego oprogramowania, w tym Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT i Royal Ransomware , zamiast oferować oryginalne aplikacje.
Złośliwe oprogramowanie LOBSHOT atakuje rozszerzenia i portfele kryptowalut
Jeśli LOBSHOT nie znajdzie oznak obecności Microsoft Defender, będzie kontynuował swoje groźne programowanie. Zagrożenie automatycznie skonfiguruje wpisy rejestru, aby zapewnić jego uruchamianie przy każdym starcie systemu Windows. LOBSHOT następnie zbierze i rozpocznie przesyłanie informacji systemowych, w tym wszystkich uruchomionych procesów, z zainfekowanego urządzenia. Ponadto złośliwe oprogramowanie szuka obecności 32 rozszerzeń portfela kryptowalut Chrome, dziewięciu rozszerzeń portfela Edge i 11 rozszerzeń portfela Firefox.
Po wykryciu tych rozszerzeń złośliwe oprogramowanie uruchamia plik w folderze C:\ProgramData. Jednak badacze nie są pewni, czy celem tego pliku jest wyodrębnienie danych rozszerzenia, czy też inne szkodliwe działanie.
Chociaż zbieranie rozszerzeń kryptowalut jest powszechnym celem złośliwego oprogramowania, złośliwe oprogramowanie LOBSHOT ma również wbudowany w swoją strukturę moduł hVNC. Ten moduł umożliwia cyberprzestępcom dyskretny zdalny dostęp do zainfekowanego urządzenia.
Złośliwe oprogramowanie LOBSHOT zapewnia zdalny dostęp do naruszonych urządzeń
Możliwość zdalnego sterowania komputerem stacjonarnym z systemem Windows bez wiedzy ofiary umożliwia moduł hVNC (hidden virtual network computing).
Złośliwe oprogramowanie znane jako LOBSHOT zawiera moduł hVNC, który umożliwia cyberprzestępcom manipulowanie ukrytym pulpitem tak, jakby byli fizycznie obecni przed nim, za pomocą klawiatury i myszy.
Po aktywacji modułu maszyna ofiary zaczyna przesyłać zrzuty ekranu ukrytego pulpitu do podsłuchującego klienta kontrolowanego przez atakującego. Atakujący może wchodzić w interakcje z klientem, manipulując klawiaturą, klikając przyciski i poruszając myszą, dając mu pełną zdalną kontrolę nad urządzeniem.
Dzięki pełnemu dostępowi przyznanemu przez hVNC cyberprzestępcy mogą wykonywać różne działania, takie jak wykonywanie poleceń, kradzież danych i wdrażanie dodatkowych ładunków szkodliwego oprogramowania.
