LOBSHOT Malware
S-a descoperit că o nouă amenințare malware numită LOBSHOT este distribuită prin Google Ads și este capabilă să infecteze dispozitivele Windows folosind hVNC. Malware-ul a fost observat de cercetătorii în securitate cibernetică fiind promovat de reclame care păreau a fi pentru software-ul legitim de gestionare la distanță AnyDesk. Cu toate acestea, reclamele rău intenționate conduc utilizatorii către un site web fals. Această pagină, „amydeecke.website”, împinge un fișier MSI rău intenționat care, la rândul său, execută o comandă PowerShell. Scopul este de a descărca un DLL de la download-cdn[.]com, un domeniu care a fost anterior asociat cu activitățile criminale cibernetice ale grupului de ransomware TA505/Clop.
Fișierul DLL descărcat este malware-ul LOBSHOT și este salvat în folderul C:\ProgramData, unde este executat de RunDLL32.exe. Potrivit unui raport, care a dezvăluit detalii despre LOBSHOT, cercetătorii au observat peste 500 de mostre LOBSHOT unice începând cu iulie 2022. Eșantioanele identificate sunt de obicei compilate ca DLL-uri pe 32 de biți sau executabile pe 32 de biți, cuprinse între 93 KB și 124 KB. Odată executat pe dispozitivele încălcate, LOBSHOT verifică dacă Microsoft Defender rulează și își încheie execuția dacă este detectat.
Cuprins
Infractorii cibernetici exploatează Google Ads pentru a distribui amenințări malware
Experții în securitate cibernetică au observat o creștere substanțială a utilizării reclamelor Google de către actorii amenințărilor pentru a răspândi programe malware prin rezultatele căutării. Campaniile de publicitate rău intenționate au implicat imitarea diferitelor site-uri web și produse software legitime, cum ar fi 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus și alte câteva aplicații.
În ciuda impresiei de legitimitate oferită de reclame, site-urile web către care redirecționează sunt de fapt concepute pentru a disemina programe malware, inclusiv Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT și Royal Ransomware în loc să ofere aplicații autentice.
Programul malware LOBSHOT vizează extensiile și portofelele criptomonede
Dacă LOBSHOT nu găsește semne ale prezenței Microsoft Defender, acesta va continua cu programarea amenințătoare. Amenințarea va configura automat intrările din Registry pentru a asigura pornirea acesteia la fiecare pornire Windows. LOBSHOT va colecta apoi și va începe să transmită informații despre sistem, inclusiv toate procesele care rulează, de pe dispozitivul infectat. În plus, malware-ul caută prezența a 32 de extensii de portofel de criptomonede Chrome, nouă extensii de portofel Edge și 11 extensii de portofel Firefox.
La detectarea acestor extensii, malware-ul execută un fișier în folderul C:\ProgramData. Cu toate acestea, cercetătorii nu sunt siguri dacă scopul fișierului este extragerea datelor de extensie sau o altă acțiune dăunătoare.
Deși colectarea extensiilor de criptomonede este un obiectiv comun pentru malware, malware-ul LOBSHOT are și un modul hVNC încorporat în structura sa. Acest modul permite actorilor amenințărilor să acceseze un dispozitiv infectat de la distanță, în mod discret.
Programul malware LOBSHOT oferă acces de la distanță la dispozitivele încălcate
Capacitatea de a controla de la distanță un computer desktop Windows fără știrea victimei este posibilă de modulul hVNC (hidden virtual network computing).
Malware-ul cunoscut sub numele de LOBSHOT include un modul hVNC, care le permite actorilor amenințărilor să manipuleze desktopul ascuns ca și cum ar fi prezenți fizic în fața acestuia, folosind tastatura și mouse-ul.
Odată ce modulul este activat, aparatul victimei începe să transmită capturi de ecran ale desktopului ascuns către un client care ascultă controlat de atacator. Atacatorul poate interacționa cu clientul manipulând tastatura, făcând clic pe butoane și mișcând mouse-ul, oferindu-i control complet de la distanță al dispozitivului.
Cu acces deplin acordat de hVNC, actorii amenințărilor pot desfășura diverse activități, cum ar fi executarea comenzilor, furtul de date și implementarea de încărcături suplimentare de malware.
