Вредоносное ПО LOBSHOT обнаружено в ходе расследования вредоносной рекламы
Исследователи Elastic Security Labs недавно обнаружили новое вредоносное ПО под названием LOBSHOT в ходе тщательного расследования увеличения числа кампаний вредоносной рекламы. LOBSHOT представляет особый интерес, поскольку он предоставляет злоумышленникам скрытый доступ VNC (виртуальные сетевые вычисления) к зараженным устройствам. Исследователи также обнаружили связь между вредоносной программой и TA505, финансово мотивированной группой киберпреступников, известной развертыванием различных программ-вымогателей и банковских троянов .
Оглавление
Всплеск кампаний по вредоносной рекламе
Количество кампаний по вредоносной рекламе растет, и их скрытый характер затрудняет пользователям различение законной и вредоносной рекламы. Исследователи безопасности заметили, что этот рост может быть связан с тем, что злоумышленники продают вредоносную рекламу как услугу, что еще раз подчеркивает важность проявления бдительности при взаимодействии с онлайн-рекламой.
В ходе своего исследования Elastic Security Labs наблюдала заметный всплеск кампаний вредоносной рекламы с использованием наборов эксплойтов для устранения конкретных уязвимостей в широко используемых приложениях. Эти кампании все чаще наблюдались на нескольких популярных веб-сайтах, подвергая миллионы пользователей потенциальным угрозам. Как правило, посетители этих веб-сайтов сталкиваются с вредоносной рекламой, которая при нажатии перенаправляет на целевую страницу комплекта эксплойтов, где LOBSHOT в конечном итоге выполняется на устройстве пользователя.
TA505 Инфраструктура
TA505 , группа киберпреступников, подозреваемая в разработке и развертывании LOBSHOT, уже давно известна своей широкомасштабной вредоносной деятельностью. Эта группа известна своим хорошо организованным и разнообразным спектром атак, в которых особое внимание уделяется финансовым учреждениям в качестве их основных целей, но также они распространяют свою вредоносную деятельность на другие отрасли.
После анализа LOBSHOT специалисты Elastic Security Labs обнаружили явные совпадения между инфраструктурой вредоносного ПО и ранее выявленной инфраструктурой TA505. Сходство методологий атак и дублирующаяся инфраструктура подтверждают гипотезу о том, что TA505 отвечает за разработку и активное использование LOBSHOT.
Скрытый доступ к VNC
Одним из наиболее тревожных аспектов LOBSHOT является его способность предоставлять злоумышленникам скрытый доступ к устройствам жертв через VNC. Эта особая функция позволяет злоумышленникам получить удаленный доступ к зараженному устройству, минуя согласие пользователя, предоставляя им возможность отслеживать, манипулировать и извлекать конфиденциальные данные без ведома пользователя. Скрытый доступ к VNC делает LOBSHOT мощным и опасным инструментом в арсенале киберпреступников, особенно тех, кто преследует финансовые цели.
Способ распространения
Было замечено, что метод распространения вредоносного ПО LOBSHOT включает обманную тактику, использование Google Ads и поддельных веб-сайтов для соблазнения ничего не подозревающих жертв. Эти методы еще раз демонстрируют изощренность и приспособляемость субъектов угроз, стоящих за этим вредоносным ПО, что делает еще более важным для конечных пользователей проявлять осторожность при просмотре и нажатии на рекламные объявления.
Поддельные веб-сайты через Google Ads
Одним из основных способов распространения LOBSHOT является использование поддельных веб-сайтов, продвигаемых через Google Ads. Злоумышленники создают и поддерживают эти поддельные веб-сайты, которые имитируют законные веб-сайты и службы. Используя платформу Google Ads, злоумышленники могут показывать свои вредоносные рекламные объявления ничего не подозревающим пользователям, которые могут нажимать на объявления, считая их подлинными, что приводит к установке вредоносного ПО LOBSHOT на их устройства.
Перенаправление пользователей на поддельный домен AnyDesk
Помимо использования поддельных веб-сайтов, процесс распространения вредоносного ПО LOBSHOT также включает перенаправление пользователей на поддельный домен AnyDesk. AnyDesk — это популярное приложение для удаленного рабочего стола, которое многие компании и частные лица используют для удаленного доступа и поддержки. Злоумышленники воспользовались этим доверием, создав фиктивный домен AnyDesk, чтобы обманом заставить пользователей загрузить вредоносную версию программного обеспечения, которое на самом деле является вредоносным ПО LOBSHOT. Этот метод еще раз подчеркивает хитрую тактику, используемую этими киберпреступниками для заманивания в ловушку жертв и выполнения их злонамеренных действий.
Установка через скомпрометированную систему
В некоторых случаях вредоносное ПО LOBSHOT может быть установлено на устройство жертвы через скомпрометированную систему. Это может произойти, если пользователь неосознанно посещает или загружает контент с веб-сайта, зараженного вредоносным ПО, или если он стал целью кампании целевого фишинга. После того, как вредоносное ПО успешно проникло на устройство жертвы, оно может предоставить злоумышленнику скрытый доступ к VNC, который затем может удаленно контролировать и манипулировать системой по своему усмотрению.
Возможности LOBSHOT
Вредоносная программа LOBSHOT может похвастаться целым рядом потрясающих возможностей, которые позволяют ей успешно проникать в пользовательские устройства и использовать их. Вредоносное ПО ориентировано в первую очередь на скрытые виртуальные сетевые вычисления (hVNC), что позволяет злоумышленникам удаленно управлять зараженными устройствами и получать доступ к их пользовательскому интерфейсу. Основные возможности LOBSHOT включают в себя:
Скрытые виртуальные сетевые вычисления (hVNC)
В основе функциональности LOBSHOT лежит его способность предоставлять скрытый VNC-доступ к устройствам-жертвам. Через hVNC злоумышленникам предоставляется скрытый метод удаленного управления устройством без согласия или ведома жертвы. Функция hVNC делает LOBSHOT особенно опасным, поскольку позволяет злоумышленникам скрытно присутствовать на скомпрометированных устройствах, выполняя при этом различные гнусные действия.
Дистанционное управление устройством
Возможности LOBSHOT hVNC позволяют злоумышленникам получить полный контроль над зараженными устройствами, выполнять команды, вносить изменения и получать доступ к ресурсам, как если бы они были законным пользователем. Этот уровень контроля позволяет злоумышленникам выполнять широкий спектр вредоносных действий, включая кражу данных, установку дополнительных вредоносных программ и проведение шпионских кампаний. Возможность удаленного управления устройством жертвы подчеркивает серьезную угрозу, исходящую от LOBSHOT.
Полный графический пользовательский интерфейс (GUI)
Вредоносная программа также имеет возможность доступа к полному графическому пользовательскому интерфейсу (GUI) целевого устройства, что означает, что злоумышленник может визуально взаимодействовать со средой рабочего стола устройства. Эта функция добавляет вредоносным программам еще один уровень эффективности и контроля, упрощая злоумышленникам навигацию и манипулирование скомпрометированным устройством. Доступ к полному графическому интерфейсу позволяет злоумышленнику отслеживать действия пользователя, получать доступ к конфиденциальной информации и выполнять действия, приписываемые законному пользователю, что еще больше подчеркивает пагубность LOBSHOT.
Смягчение последствий и опасения
Вредоносное ПО LOBSHOT представляет серьезную проблему как для отдельных пользователей, так и для организаций из-за его скрытых возможностей VNC и связи с финансово мотивированными злоумышленниками, такими как TA505. Смягчение и решение этих проблем требует понимания потенциальных рисков и принятия соответствующих защитных мер, а также призыва к более строгим правилам для таких платформ, как Google Ads.
Кража банковской и финансовой информации
Одной из основных проблем, связанных с LOBSHOT, является возможность кражи банковской и финансовой информации с зараженных устройств. Его скрытый доступ к VNC позволяет злоумышленникам незаметно проникать в устройства, отслеживать действия пользователей и собирать конфиденциальные данные, такие как учетные данные для входа, номера учетных записей и сведения о транзакциях. Такая информация может быть использована для получения экономической выгоды или для дальнейших атак, таких как вброс учетных данных или фишинговые кампании.
Призывает к более строгому регулированию рекламы в Google
В ответ на растущую угрозу распространения вредоносных программ через Google Ads несколько исследователей и специалистов по безопасности призвали Alphabet, холдинговую компанию Google, ввести более строгие правила утверждения рекламы. Внедрение более надежных процессов фильтрации рекламы и механизмов проверки может помочь свести к минимуму распространение таких вредоносных программ, как LOBSHOT, и снизить риск того, что ничего не подозревающие пользователи станут жертвами таких угроз. Тем временем конечные пользователи должны принимать меры предосторожности, проверяя законность домена, который они посещают, и программного обеспечения, которое они загружают.