Вредоносное ПО LOBSHOT
Было обнаружено, что новая угроза вредоносного ПО под названием LOBSHOT распространяется через Google Ads и способна заражать устройства Windows с помощью hVNC. Исследователи кибербезопасности заметили, что вредоносное ПО продвигается рекламой, похожей на законное программное обеспечение для удаленного управления AnyDesk. Однако вместо этого вредоносные объявления приводят пользователей на поддельный веб-сайт. Эта страница, «amydeecke.website», отправляет вредоносный файл MSI, который, в свою очередь, выполняет команду PowerShell. Цель состоит в том, чтобы загрузить DLL с домена download-cdn[.]com, который ранее был связан с киберпреступной деятельностью группы вымогателей TA505/Clop.
Загруженный DLL-файл представляет собой вредоносную программу LOBSHOT и сохраняется в папке C:\ProgramData, где он запускается с помощью RunDLL32.exe. Согласно отчету, в котором раскрываются подробности о LOBSHOT, исследователи наблюдали более 500 уникальных образцов LOBSHOT с июля 2022 года. Идентифицированные образцы обычно компилируются в виде 32-разрядных библиотек DLL или 32-разрядных исполняемых файлов размером от 93 до 124 КБ. После запуска на взломанных устройствах LOBSHOT проверяет, запущен ли Защитник Microsoft, и прекращает его выполнение, если обнаруживает.
Оглавление
Киберпреступники используют Google Ads для распространения вредоносных программ
Эксперты по кибербезопасности отмечают значительный всплеск использования рекламы Google злоумышленниками для распространения вредоносного ПО через результаты поиска. Вредоносные рекламные кампании включали имитацию различных веб-сайтов и легитимных программных продуктов, таких как 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus и ряда других приложений.
Несмотря на впечатление легитимности, создаваемое рекламой, веб-сайты, на которые они перенаправляются, на самом деле предназначены для распространения вредоносных программ, включая Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT и Royal Ransomware , вместо того, чтобы предоставлять подлинные приложения.
Вредоносное ПО LOBSHOT нацелено на криптовалютные расширения и кошельки
Если LOBSHOT не обнаружит признаков присутствия Microsoft Defender, он продолжит свое угрожающее программирование. Угроза автоматически настроит записи реестра, чтобы обеспечить ее запуск при каждой загрузке Windows. Затем LOBSHOT соберет и начнет передавать системную информацию, включая все запущенные процессы, с зараженного устройства. Кроме того, вредоносное ПО ищет наличие 32 расширений криптовалютного кошелька Chrome, девяти расширений кошелька Edge и 11 расширений кошелька Firefox.
При обнаружении этих расширений вредоносная программа запускает файл в папке C:\ProgramData. Однако исследователи не уверены, является ли целью файла извлечение данных расширения или какое-либо другое вредоносное действие.
Хотя сбор расширений криптовалюты является общей целью вредоносных программ, вредоносная программа LOBSHOT также имеет модуль hVNC, встроенный в ее структуру. Этот модуль позволяет злоумышленникам незаметно удаленно получать доступ к зараженному устройству.
Вредоносная программа LOBSHOT обеспечивает удаленный доступ к взломанным устройствам
Возможность удаленного управления настольным компьютером Windows без ведома жертвы стала возможной благодаря модулю hVNC (скрытые виртуальные сетевые вычисления).
Вредоносное ПО, известное как LOBSHOT, включает в себя модуль hVNC, который позволяет злоумышленникам манипулировать скрытым рабочим столом, как если бы они физически присутствовали перед ним, используя клавиатуру и мышь.
После активации модуля компьютер жертвы начинает передавать снимки экрана скрытого рабочего стола прослушивающему клиенту, контролируемому злоумышленником. Злоумышленник может взаимодействовать с клиентом, манипулируя клавиатурой, нажимая кнопки и перемещая мышь, что дает ему полный удаленный контроль над устройством.
С полным доступом, предоставленным hVNC, злоумышленники могут выполнять различные действия, такие как выполнение команд, кража данных и развертывание дополнительных полезных нагрузок вредоносных программ.
