LOBSHOT Malvér zistený prostredníctvom vyšetrovania malvertisingu
Výskumníci z Elastic Security Labs nedávno objavili nový malvér s názvom LOBSHOT počas dôkladného skúmania nárastu škodlivých kampaní. LOBSHOT je obzvlášť zaujímavý, pretože poskytuje aktérom hrozieb skrytý VNC (Virtual Network Computing) prístup k infikovaným zariadeniam. Výskumníci tiež našli spojenie medzi malvérom a TA505, finančne motivovanou skupinou kyberzločincov, ktorá je známa nasadením rôznych ransomvérových a bankových trójskych koní .
Obsah
Nárast v kampaniach zameraných na nekalú inzerciu
Počet reklamných kampaní rastie a ich tajný charakter sťažuje používateľom rozlišovanie medzi legitímnymi a škodlivými reklamami. Výskumní pracovníci v oblasti bezpečnosti zistili, že tento nárast možno pripísať aktérom hroziacim, ktorí predávajú škodlivú reklamu ako službu, čo ďalej zdôrazňuje dôležitosť ostražitosti pri interakcii s online reklamami.
Počas svojho výskumu Elastic Security Labs pozorovali výrazný nárast v reklamných kampaniach využívajúcich exploit kity na zacielenie na špecifické zraniteľnosti v široko používaných aplikáciách. Tieto kampane boli čoraz častejšie pozorované na niekoľkých populárnych webových stránkach, ktoré vystavovali milióny používateľov potenciálnym hrozbám. Návštevníci týchto webových stránok sa zvyčajne stretávajú so škodlivými reklamami, ktoré po kliknutí presmerujú na vstupnú stránku exploit kit, kde sa LOBSHOT nakoniec spustí na zariadení používateľa.
Infraštruktúra TA505
TA505 , kyberzločinecká skupina podozrivá z toho, že stojí za vývojom a nasadením LOBSHOT, je už dlho uznávaná pre svoje rozsiahle škodlivé aktivity. Táto skupina je známa svojimi dobre organizovanými a rôznorodými útočnými kampaňami, ktoré sa špecificky zameriavajú na finančné inštitúcie ako ich primárne ciele, ale rozširujú svoje škodlivé aktivity aj do iných odvetví.
Po analýze LOBSHOT zistili Elastic Security Labs jasné prekrývanie medzi infraštruktúrou malvéru a predtým identifikovanou infraštruktúrou TA505. Podobnosť v metodológii útoku a prekrývajúcej sa infraštruktúre dáva dôveryhodnosť hypotéze, že TA505 je zodpovedný za vývoj a aktívne používanie LOBSHOT.
Skrytý prístup VNC
Jedným z najzaujímavejších aspektov LOBSHOT je jeho schopnosť poskytnúť aktérom hrozby skrytý prístup k zariadeniam obetí prostredníctvom VNC. Táto špecifická funkcia umožňuje útočníkom získať vzdialený prístup k infikovanému zariadeniu a zároveň obísť súhlas používateľa, čo im poskytuje možnosť monitorovať, manipulovať a exfiltrovať citlivé údaje bez vedomia používateľa. Skrytý prístup VNC robí z LOBSHOT silný a nebezpečný nástroj v arzenáli kyberzločincov, najmä tých, ktorí majú finančnú motiváciu.
Spôsob distribúcie
Bolo pozorované, že metóda distribúcie malvéru LOBSHOT zahŕňa klamlivú taktiku využívajúcu službu Google Ads a falošné webové stránky na prilákanie nič netušiacich obetí. Tieto techniky ďalej demonštrujú sofistikovanosť a prispôsobivosť aktérov hrozieb stojacich za týmto malvérom, vďaka čomu je pre koncových používateľov ešte dôležitejšie, aby boli opatrní pri prehliadaní reklám a klikaní na ne.
Falošné webové stránky cez Google Ads
Jedným z hlavných spôsobov distribúcie LOBSHOT je používanie falošných webových stránok propagovaných prostredníctvom služby Google Ads. Aktéri hrozieb vytvárajú a udržiavajú tieto falošné webové stránky, ktoré sú navrhnuté tak, aby napodobňovali legitímne webové stránky a služby. Využitím platformy Google Ads môžu protivníci zobrazovať svoje škodlivé reklamy nič netušiacim používateľom, ktorí môžu kliknúť na reklamy pod dojmom, že sú pravé, čo vedie k inštalácii malvéru LOBSHOT do ich zariadení.
Presmerovanie používateľov na falošnú doménu AnyDesk
Okrem používania falošných webových stránok proces distribúcie škodlivého softvéru LOBSHOT zahŕňa aj presmerovanie používateľov na falošnú doménu AnyDesk. AnyDesk je populárna aplikácia vzdialenej pracovnej plochy, na ktorú sa mnohé firmy a jednotlivci spoliehajú pri vzdialenom prístupe a podpore. Aktéri hrozieb využili túto dôveru vytvorením fiktívnej domény AnyDesk, aby oklamali používateľov, aby si stiahli škodlivú verziu softvéru, čo je v skutočnosti malvér LOBSHOT. Táto metóda ďalej zdôrazňuje prefíkanú taktiku, ktorú títo kyberzločinci používajú na chytenie obetí a vykonávanie ich zákerných aktivít.
Inštalácia cez kompromitovaný systém
V niektorých prípadoch môže byť malvér LOBSHOT nainštalovaný na zariadení obete prostredníctvom napadnutého systému. Môže k tomu dôjsť, ak používateľ nevedomky navštívi alebo stiahne obsah z webovej lokality, ktorá bola infikovaná škodlivým softvérom, alebo ak sa stal cieľom kampane typu spear-phishing. Keď malvér úspešne prenikol do zariadenia obete, môže poskytnúť skrytý prístup VNC aktérovi hrozby, ktorý potom môže na diaľku ovládať a manipulovať so systémom podľa potreby.
Schopnosti LOBSHOT
Malvér LOBSHOT sa môže pochváliť radom úžasných schopností, vďaka ktorým je zbehlý v infiltrácii a zneužívaní používateľských zariadení. Malvér sa zameriava predovšetkým na skryté virtuálne siete (HVNC), ktoré útočníkom umožňujú na diaľku ovládať infikované zariadenia a pristupovať k ich používateľskému rozhraniu. Hlavné schopnosti LOBSHOT zahŕňajú:
Skrytá virtuálna sieť (hVNC)
Základom funkčnosti LOBSHOT je jeho schopnosť poskytovať skrytý VNC prístup k obetiam. Prostredníctvom hVNC je útočníkom poskytnutá skrytá metóda diaľkového ovládania zariadenia bez súhlasu alebo vedomia obete. Funkcia hVNC robí LOBSHOT obzvlášť nebezpečným, pretože umožňuje zlým hercom zachovať si tajnú prítomnosť na napadnutých zariadeniach a zároveň vykonávať rôzne hanebné činnosti.
Diaľkové ovládanie zariadenia
Schopnosti LOBSHOT hVNC umožňujú útočníkom prevziať plnú kontrolu nad infikovanými zariadeniami, vykonávať príkazy, vykonávať zmeny a pristupovať k zdrojom, ako keby boli legitímnym používateľom. Táto úroveň kontroly umožňuje aktérom hrozby vykonávať širokú škálu škodlivých aktivít vrátane exfiltrácie údajov, inštalácie dodatočného malvéru a vedenia špionážnych kampaní. Schopnosť diaľkovo ovládať zariadenie obete podčiarkuje významnú hrozbu, ktorú predstavuje LOBSHOT.
Plne grafické používateľské rozhranie (GUI)
Malvér má tiež schopnosť pristupovať k úplnému grafickému používateľskému rozhraniu (GUI) cieľového zariadenia, čo znamená, že útočník môže vizuálne interagovať s desktopovým prostredím zariadenia. Táto funkcia pridáva malvéru ďalšiu vrstvu efektivity a kontroly tým, že aktérovi hrozby uľahčuje navigáciu a manipuláciu s napadnutým zariadením. Prístup k úplnému grafickému používateľskému rozhraniu umožňuje útočníkovi monitorovať aktivity používateľov, pristupovať k citlivým informáciám a vykonávať akcie pripisované legitímnemu používateľovi, čím sa ešte viac zdôrazňuje zhubnosť LOBSHOT.
Zmiernenie a obavy
Malvér LOBSHOT predstavuje značné obavy pre jednotlivých používateľov aj organizácie kvôli svojim skrytým schopnostiam VNC a spojeniu s finančne motivovanými hrozbami, ako je TA505. Zmiernenie a riešenie týchto obáv zahŕňa pochopenie potenciálnych rizík a implementáciu vhodných obranných opatrení, ako aj požiadavku na prísnejšie nariadenia pre platformy, ako je Google Ads.
Krádež bankových a finančných informácií
Jednou z hlavných obáv súvisiacich s LOBSHOT je jeho potenciál ukradnúť bankové a finančné informácie z infikovaných zariadení. Jeho skrytý prístup VNC umožňuje útočníkom nepozorovane preniknúť do zariadení, monitorovať aktivity používateľov a zachytávať citlivé údaje, ako sú prihlasovacie údaje, čísla účtov a podrobnosti o transakciách. Takéto informácie môžu byť zneužité na ekonomický zisk alebo použité v ďalších útokoch, ako je napríklad hromadenie poverení alebo phishingové kampane.
Vyzýva na prísnejšiu reguláciu reklám na Googli
V reakcii na rastúcu hrozbu šírenia malvéru prostredníctvom služby Google Ads niekoľko výskumníkov a odborníkov na bezpečnosť vyzvalo spoločnosť Alphabet, holdingovú spoločnosť Google, aby zaviedla prísnejšie predpisy na schvaľovanie reklám. Implementácia robustnejších procesov skríningu reklám a overovacích mechanizmov môže pomôcť minimalizovať šírenie malvéru ako LOBSHOT a znížiť riziko, že sa nič netušiaci používatelia stanú obeťou takýchto hrozieb. Medzitým by koncoví používatelia mali prijať preventívne opatrenia overením legitímnosti domény, ktorú navštevujú, a softvéru, ktorý sťahujú.