LOBSHOT Malware
Descobriu-se que uma nova ameaça de malware chamada LOBSHOT é distribuída por meio do Google Ads e é capaz de infectar dispositivos Windows usando hVNC. O malware foi observado por pesquisadores de segurança cibernética sendo promovido por anúncios que pareciam ser do legítimo software de gerenciamento remoto AnyDesk. No entanto, os anúncios maliciosos levam os usuários a um site falso. Esta página, 'amydeecke.website', envia um arquivo MSI malicioso que, por sua vez, executa um comando do PowerShell. O objetivo é baixar uma DLL de download-cdn[.]com, um domínio que já foi associado às atividades cibercriminosas do grupo de ransomware TA505/Clop.
O arquivo DLL baixado é o malware LOBSHOT e é salvo na pasta C:\ProgramData, onde é executado pelo RunDLL32.exe. De acordo com um relatório, que revelou detalhes sobre o LOBSHOT, os pesquisadores observaram mais de 500 amostras exclusivas do LOBSHOT desde julho de 2022. As amostras identificadas são normalmente compiladas como DLLs de 32 bits ou executáveis de 32 bits variando entre 93 KB e 124 KB. Depois de executado nos dispositivos violados, o LOBSHOT verifica se o Microsoft Defender está em execução e encerra sua execução, se detectado.
Índice
Os Cibercriminosos Exploram os Anúncios do Google para Distribuir Ameaças de Malware
Os especialistas em segurança cibernética observaram um aumento substancial no uso de anúncios do Google por agentes de ameaças para espalhar malware por meio de resultados de pesquisa. As campanhas de publicidade maliciosa envolviam a imitação de vários sites e produtos de software legítimos, como 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus e vários outros aplicativos.
Apesar da impressão de legitimidade dada pelos anúncios, os sites para os quais eles redirecionam são, na verdade, projetados para disseminar malware, incluindo Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT e Royal Ransomware , em vez de fornecer aplicativos genuínos.
O LOBSHOT Malware Tem como Alvo Extensões e Carteiras de Cripto-Moedas
Se o LOBSHOT não encontrar sinais da presença do Microsoft Defender, ele prosseguirá com sua programação ameaçadora. A ameaça configurará automaticamente as entradas do Registro para garantir sua inicialização em cada inicialização do Windows. O LOBSHOT coletará e começará a transmitir informações do sistema, incluindo todos os processos em execução, do dispositivo infectado. Além disso, o malware procura a presença de 32 extensões de carteira de criptomoeda do Chrome, nove extensões de carteira Edge e 11 extensões de carteira do Firefox.
Ao detectar essas extensões, o malware executa um arquivo na pasta C:\ProgramData. No entanto, os pesquisadores não têm certeza se o objetivo do arquivo é extrair dados de extensão ou alguma outra ação prejudicial.
Embora a coleta de extensões de criptomoeda seja um objetivo comum para malware, o malware LOBSHOT também possui um módulo hVNC incorporado à sua estrutura. Este módulo permite que os agentes de ameaças acessem um dispositivo infectado remotamente e discretamente.
O LOBSHOT Malware Fornece Acesso Remoto aos Dispositivos Violados
A capacidade de controlar remotamente um computador Windows sem o conhecimento da vítima é possibilitada pelo módulo hVNC (hidden virtual network computing).
O malware conhecido como LOBSHOT inclui um módulo hVNC, que permite que os invasores manipulem a área de trabalho oculta como se estivessem fisicamente presentes na frente dela, usando o teclado e o mouse.
Depois que o módulo é ativado, a máquina da vítima começa a transmitir capturas de tela da área de trabalho oculta para um cliente de escuta controlado pelo invasor. O invasor pode interagir com o cliente manipulando o teclado, clicando em botões e movendo o mouse, dando a ele o controle remoto completo do dispositivo.
Com acesso total concedido pelo hVNC, os agentes de ameaças podem realizar várias atividades, como executar comandos, roubar dados e implantar cargas de malware adicionais.
