O Malware LOBSHOT foi Descoberto Durante uma Investigação de Malvertising
Os pesquisadores do Elastic Security Labs descobriram recentemente um novo malware chamado LOBSHOT durante uma investigação minuciosa de um aumento nas campanhas de publicidade maliciosa. O LOBSHOT é de particular interesse porque concede aos agentes de ameaças acesso ao VNC (Virtual Network Computing) oculto aos dispositivos infectados. Os pesquisadores também encontraram conexões entre o malware e o TA505, um grupo cibercriminoso com motivação financeira, conhecido por implantar vários ransomware e Trojans bancários .
Índice
Pico nas Campanhas de Malvertising
As campanhas de malvertising têm crescido em número e sua natureza furtiva torna difícil para os usuários diferenciar entre anúncios legítimos e maliciosos. Os pesquisadores de segurança observaram que esse aumento pode ser atribuído a agentes de ameaças que vendem malvertising como serviço, destacando ainda mais a importância de estar vigilante ao interagir com anúncios online.
Ao longo de sua pesquisa, o Elastic Security Labs observou um aumento proeminente nas campanhas de malvertising utilizando kits de exploração para atingir vulnerabilidades específicas em aplicativos amplamente usados. Essas campanhas têm sido cada vez mais observadas em vários sites populares, expondo milhões de usuários a possíveis ameaças. Normalmente, os visitantes desses sites encontram propagandas maliciosas que, quando clicadas, redirecionam para uma página do kit de exploração onde o LOBSHOT eventualmente é executado no dispositivo do usuário.
A Infraestrutura do TA505
O TA505, o grupo cibercriminoso suspeito de estar por trás do desenvolvimento e implantação do LOBSHOT, há muito é reconhecido por suas amplas atividades maliciosas. Esse grupo é conhecido por suas campanhas de ataque diversificadas e bem organizadas, focando especificamente nas instituições financeiras como alvos principais, mas também estendendo suas atividades maliciosas a outros setores.
Após a análise do LOBSHOT, o Elastic Security Labs encontrou sobreposições claras entre a infraestrutura do malware e a infraestrutura TA505 previamente identificada. A semelhança nas metodologias de ataque e na infraestrutura sobreposta dá credibilidade à hipótese de que o TA505 é responsável pelo desenvolvimento e uso ativo do LOBSHOT.
Acesso Oculto ao VNC
Um dos aspectos mais preocupantes do LOBSHOT é sua capacidade de conceder aos agentes de ameaças acesso oculto aos dispositivos das vítimas por meio do VNC. Esse recurso específico permite que invasores obtenham acesso remoto a um dispositivo infectado enquanto contornam o consentimento do usuário, fornecendo a eles a capacidade de monitorar, manipular e exfiltrar dados confidenciais sem o conhecimento do usuário. O acesso VNC oculto torna o LOBSHOT uma ferramenta poderosa e perigosa no arsenal dos cibercriminosos, principalmente aqueles com motivações financeiras.
Método de distribuição
Observou-se que o método de distribuição do malware LOBSHOT envolve táticas enganosas, aproveitando anúncios do Google e sites falsos para atrair vítimas inocentes. Essas técnicas demonstram ainda mais a sofisticação e adaptabilidade dos agentes de ameaças por trás desse malware, tornando ainda mais crítico para os usuários finais serem cautelosos ao navegar e clicar em anúncios.
Através de Sites Falsos do Google Ads
Uma das principais formas de distribuição do LOBSHOT é por meio do uso de sites falsos promovidos pelo Google Ads. Os agentes de ameaças criam e mantêm esses sites falsificados, que são projetados para imitar sites e serviços legítimos. Ao explorar a plataforma do Google Ads, os adversários podem exibir seus anúncios maliciosos para usuários desavisados que podem clicar nos anúncios com a impressão de que são genuínos, levando à instalação do malware LOBSHOT em seus dispositivos.
Redirecionando os Usuários para um Falso Domínio do AnyDesk
Além de usar sites falsos, o processo de distribuição do malware LOBSHOT também envolve o redirecionamento dos usuários para um domínio do AnyDesk falsificado. O AnyDesk é um aplicativo popular de área de trabalho remota do qual muitas empresas e indivíduos dependem para acesso remoto e suporte. Os agentes de ameaças se aproveitaram dessa confiança criando um domínio AnyDesk fictício para enganar os usuários e fazê-los baixar uma versão maliciosa do software, que na verdade é o malware LOBSHOT. Esse método destaca ainda mais as táticas astutas usadas por esses cibercriminosos para capturar as vítimas e executar suas atividades maliciosas.
Instalação através do Sistema Comprometido
Em alguns casos, o malware LOBSHOT pode ser instalado no dispositivo da vítima por meio de um sistema comprometido. Isso pode ocorrer se o usuário visitar ou baixar inadvertidamente o conteúdo de um site infectado pelo malware ou se ele se tornar alvo de uma campanha de spear phishing. Uma vez que o malware tenha se infiltrado com sucesso no dispositivo da vítima, ele pode conceder acesso VNC oculto ao agente da ameaça, que pode controlar e manipular remotamente o sistema conforme desejado.
As Capacidades do LOBSHOT
O malware LOBSHOT possui uma variedade de recursos formidáveis que o tornam hábil em se infiltrar e explorar os dispositivos do usuário. O malware se concentra principalmente na computação de rede virtual oculta (hVNC), permitindo que os invasores controlem remotamente os dispositivos infectados e acessem sua interface de usuário. Os principais recursos do LOBSHOT incluem:
Computação de Rede Virtual Oculta (hVNC)
No centro da funcionalidade do LOBSHOT está sua capacidade de fornecer acesso VNC oculto aos dispositivos das vítimas. Por meio do hVNC, os invasores recebem um método secreto de controlar remotamente um dispositivo sem o consentimento ou conhecimento da vítima. O recurso hVNC torna o LOBSHOT particularmente perigoso, pois permite que agentes mal-intencionados mantenham uma presença furtiva nos dispositivos comprometidos enquanto realizam várias atividades nefastas.
Controle Remoto do Dispositivo
Os recursos hVNC do LOBSHOT permitem que os invasores assumam o controle total dos dispositivos infectados, executando comandos, fazendo alterações e acessando recursos como se fossem o usuário legítimo. Esse nível de controle permite que os agentes de ameaças realizem uma ampla gama de atividades maliciosas, incluindo exfiltração de dados, instalação de malware adicional e realização de campanhas de espionagem. A capacidade de controlar remotamente o dispositivo da vítima ressalta a ameaça significativa representada pelo LOBSHOT.
Toda a Interface Gráfica do Usuário (GUI)
O malware também tem a capacidade de acessar toda a Interface Gráfica do Usuário (GUI) do dispositivo visado, o que significa que o invasor pode interagir visualmente com o ambiente de área de trabalho do dispositivo. Esse recurso adiciona outra camada de eficiência e controle ao malware, tornando mais fácil para o agente da ameaça navegar e manipular o dispositivo comprometido. O acesso à GUI completa permite que o invasor monitore as atividades do usuário, acesse informações confidenciais e execute ações atribuídas ao usuário legítimo, enfatizando ainda mais a perniciosidade do LOBSHOT.
Mitigação e Preocupações
O malware LOBSHOT apresenta preocupações significativas para usuários individuais e organizações, devido aos seus recursos ocultos de VNC e à associação com agentes de ameaças motivados financeiramente, como o TA505. A mitigação e o tratamento dessas preocupações envolvem a compreensão dos riscos potenciais e a implementação de medidas defensivas apropriadas, além de exigir regulamentações mais rígidas em plataformas como o Google Ads.
Roubo de Informações Bancárias e Financeiras
Uma das principais preocupações em torno do LOBSHOT é seu potencial para roubar informações bancárias e financeiras dos dispositivos infectados. Seu acesso VNC oculto permite que os invasores se infiltrem em dispositivos sem serem detectados, monitorem as atividades do usuário e capturem dados confidenciais, como credenciais de login, números de contas e detalhes de transações. Essas informações podem ser exploradas para ganhos econômicos ou usadas em outros ataques, como preenchimento de credenciais ou campanhas de phishing.
A Solicitação de uma Regulamentação de Anúncios Mais Rígida no Google
Em resposta à crescente ameaça de distribuição de malware por meio do Google Ads, vários pesquisadores e profissionais de segurança pediram que a Alphabet, holding do Google, impusesse uma regulamentações mais rígidas sobre a aprovação de anúncios. A implementação do processos de triagem de anúncios e mecanismos de verificação mais robustos pode ajudar a minimizar a disseminação de malware como o LOBSHOT e reduzir o risco de usuários desavisados serem vítimas de tais ameaças. Enquanto isso, os usuários finais devem tomar precauções verificando a legitimidade do domínio que estão visitando e do software que estão baixando.