LOBSHOT Malware descoperit prin intermediul investigației Malvertising
Cercetătorii de la Elastic Security Labs au descoperit recent un nou malware numit LOBSHOT în timpul investigației lor amănunțite asupra creșterii campaniilor de malvertising. LOBSHOT prezintă un interes deosebit, deoarece oferă actorilor de amenințări acces VNC (Virtual Network Computing) ascuns la dispozitivele infectate. Cercetătorii au găsit, de asemenea, conexiuni între malware și TA505, un grup de criminali cibernetici motivat financiar, cunoscut pentru implementarea diferitelor ransomware și troieni bancari .
Cuprins
Creșterea campaniilor de malvertising
Campaniile de publicitate incorectă au crescut ca număr, iar natura lor ascunsă face dificilă diferențierea între reclamele legitime și cele rău intenționate pentru utilizatori. Cercetătorii în domeniul securității au observat că această creștere poate fi atribuită actorilor de amenințări care vând malvertising-as-a-service, subliniind și mai mult importanța de a fi vigilenți atunci când interacționați cu reclamele online.
De-a lungul cercetării lor, Elastic Security Labs a observat o creștere proeminentă a campaniilor de publicitate incorectă care utilizează kituri de exploatare pentru a viza vulnerabilități specifice în aplicațiile utilizate pe scară largă. Aceste campanii au fost din ce în ce mai observate pe mai multe site-uri web populare, expunând milioane de utilizatori la potențiale amenințări. În mod obișnuit, vizitatorii acestor site-uri web se confruntă cu reclame incorecte care, atunci când sunt făcute clic, redirecționează către o pagină de destinație a unui kit de exploatare unde LOBSHOT se execută în cele din urmă pe dispozitivul utilizatorului.
TA505 Infrastructură
TA505 , grupul criminal cibernetic suspectat că se află în spatele dezvoltării și implementării LOBSHOT, a fost de multă vreme recunoscut pentru activitățile sale malițioase cuprinzătoare. Acest grup este cunoscut pentru gama sa bine organizată și diversificată de campanii de atac, concentrându-se în special pe instituțiile financiare ca ținte principale, dar și extinzându-și activitățile rău intenționate în alte industrii.
În urma analizei LOBSHOT, Elastic Security Labs a descoperit suprapuneri clare între infrastructura malware-ului și infrastructura TA505 identificată anterior. Similitudinea dintre metodologiile de atac și infrastructura suprapusă dă credibilitate ipotezei că TA505 este responsabil pentru dezvoltarea și utilizarea activă a LOBSHOT.
Acces VNC ascuns
Unul dintre cele mai îngrijorătoare aspecte ale LOBSHOT este capacitatea sa de a acorda actorilor amenințărilor acces ascuns la dispozitivele victimelor prin VNC. Această caracteristică specifică permite atacatorilor să obțină acces de la distanță la un dispozitiv infectat, ocolind consimțământul utilizatorului, oferindu-le posibilitatea de a monitoriza, manipula și exfiltra date sensibile fără știrea utilizatorului. Accesul ascuns VNC face din LOBSHOT un instrument puternic și periculos în arsenalul infractorilor cibernetici, în special al celor cu motivații financiare.
Metoda de distribuire
S-a observat că metoda de distribuire a malware-ului LOBSHOT implică tactici înșelătoare, utilizând Google Ads și site-uri web false pentru a atrage victime nebănuitoare. Aceste tehnici demonstrează în continuare sofisticarea și adaptabilitatea actorilor amenințărilor din spatele acestui malware, făcând și mai important ca utilizatorii finali să fie precauți atunci când navighează și dau clic pe reclame.
Site-uri web false prin Google Ads
Una dintre modalitățile principale prin care LOBSHOT este distribuit este prin utilizarea site-urilor web false promovate prin Google Ads. Actorii amenințărilor creează și întrețin aceste site-uri web contrafăcute, care sunt concepute pentru a imita site-urile și serviciile legitime. Prin exploatarea platformei Google Ads, adversarii își pot afișa reclamele rău intenționate utilizatorilor nebănuiți, care pot face clic pe anunțuri sub impresia că sunt autentice, ceea ce duce la instalarea malware-ului LOBSHOT pe dispozitivele lor.
Redirecționarea utilizatorilor către un domeniu fals AnyDesk
Pe lângă utilizarea site-urilor web false, procesul de distribuție pentru malware LOBSHOT implică și redirecționarea utilizatorilor către un domeniu AnyDesk contrafăcut. AnyDesk este o aplicație populară de desktop la distanță pe care se bazează multe companii și persoane pentru acces și asistență de la distanță. Actorii amenințărilor au profitat de această încredere creând un domeniu AnyDesk fictiv pentru a înșela utilizatorii să descarce o versiune rău intenționată a software-ului, care este de fapt LOBSHOT malware. Această metodă evidențiază și mai mult tacticile viclene folosite de acești infractori cibernetici pentru a capta victimele și a-și executa activitățile rău intenționate.
Instalare prin sistem compromis
În unele cazuri, malware-ul LOBSHOT poate fi instalat pe dispozitivul unei victime printr-un sistem compromis. Acest lucru se poate întâmpla dacă utilizatorul vizitează sau descarcă fără să știe conținut de pe un site web care a fost infectat cu malware sau dacă a devenit ținta unei campanii de spear-phishing. Odată ce malware-ul s-a infiltrat cu succes în dispozitivul victimei, acesta poate acorda acces VNC ascuns actorului amenințării, care poate apoi controla și manipula de la distanță sistemul după cum dorește.
Capabilitățile lui LOBSHOT
Malware-ul LOBSHOT se mândrește cu o gamă de capacități formidabile care îl fac expert în infiltrarea și exploatarea dispozitivelor utilizatorului. Malware-ul se concentrează în primul rând pe Virtual Network Computing (hVNC), permițând atacatorilor să controleze de la distanță dispozitivele infectate și să acceseze interfața lor de utilizator. Capacitățile de bază ale LOBSHOT includ:
Calcularea rețelei virtuale ascunse (hVNC)
În centrul funcționalității LOBSHOT este capacitatea sa de a oferi acces VNC ascuns la dispozitivele victime. Prin hVNC, atacatorilor li se oferă o metodă secretă de a controla de la distanță un dispozitiv fără consimțământul sau știrea victimei. Caracteristica hVNC face ca LOBSHOT să fie deosebit de periculos, deoarece le permite actorilor răi să mențină o prezență ascunsă pe dispozitivele compromise în timp ce desfășoară diverse activități nefaste.
Controlul de la distanță al dispozitivului
Capacitățile hVNC ale LOBSHOT permit atacatorilor să preia controlul deplin asupra dispozitivelor infectate, executând comenzi, efectuând modificări și accesând resurse ca și cum ar fi utilizatorul legitim. Acest nivel de control permite actorilor amenințărilor să desfășoare o gamă largă de activități rău intenționate, inclusiv exfiltrarea datelor, instalarea de programe malware suplimentare și desfășurarea de campanii de spionaj. Abilitatea de a controla de la distanță dispozitivul unei victime subliniază amenințarea semnificativă reprezentată de LOBSHOT.
Interfață grafică completă pentru utilizator (GUI)
Malware-ul are, de asemenea, capacitatea de a accesa interfața grafică completă (GUI) a dispozitivului țintă, ceea ce înseamnă că atacatorul poate interacționa vizual cu mediul desktop al dispozitivului. Această caracteristică adaugă un alt nivel de eficiență și control malware-ului, facilitând navigarea și manipularea dispozitivului compromis de către actorul amenințării. Accesul la interfața grafică completă permite atacatorului să monitorizeze activitățile utilizatorului, să acceseze informații sensibile și să efectueze acțiuni atribuite utilizatorului legitim, subliniind și mai mult perniciozitatea LOBSHOT.
Atenuare și preocupări
Malware-ul LOBSHOT prezintă preocupări semnificative atât utilizatorilor individuali, cât și organizațiilor, datorită capabilităților sale ascunse VNC și asocierii cu actori de amenințări motivați financiar, cum ar fi TA505. Atenuarea și abordarea acestor preocupări implică înțelegerea riscurilor potențiale și implementarea măsurilor defensive adecvate, precum și solicitarea unor reglementări mai stricte pe platforme precum Google Ads.
Furtul de informații bancare și financiare
Una dintre preocupările principale din jurul LOBSHOT este potențialul său de a fura informații bancare și financiare de pe dispozitivele infectate. Accesul VNC ascuns permite atacatorilor să se infiltreze în dispozitive nedetectate, să monitorizeze activitățile utilizatorilor și să capteze date sensibile, cum ar fi acreditările de conectare, numerele de cont și detaliile tranzacției. Astfel de informații pot fi exploatate pentru câștiguri economice sau folosite în alte atacuri, cum ar fi umplerea de acreditări sau campanii de phishing.
Solicită o reglementare mai strictă a anunțurilor pe Google
Ca răspuns la amenințarea tot mai mare a distribuirii de programe malware prin Google Ads, mai mulți cercetători și profesioniști în securitate au cerut Alphabet, holdingul Google, să impună reglementări mai stricte privind aprobarea reclamelor. Implementarea unor procese de filtrare a reclamelor și mecanisme de verificare mai robuste poate ajuta la minimizarea răspândirii programelor malware precum LOBSHOT și la reducerea riscului ca utilizatorii nebănuiți să devină victime ale unor astfel de amenințări. Între timp, utilizatorii finali ar trebui să ia măsuri de precauție prin verificarea legitimității domeniului pe care îl vizitează și a software-ului pe care îl descarcă.