LOBSHOT Malvér
Zistilo sa, že nová malvérová hrozba s názvom LOBSHOT je distribuovaná prostredníctvom služby Google Ads a je schopná infikovať zariadenia so systémom Windows pomocou hVNC. Tento malvér bol pozorovaný výskumníkmi v oblasti kybernetickej bezpečnosti, ktorý bol propagovaný reklamami, ktoré vyzerali ako legitímny softvér na vzdialenú správu AnyDesk. Škodlivé reklamy však namiesto toho vedú používateľov na falošnú webovú stránku. Táto stránka „amydeecke.website“ odošle škodlivý súbor MSI, ktorý zase spustí príkaz PowerShell. Cieľom je stiahnuť DLL z download-cdn[.]com, domény, ktorá bola predtým spojená s kyberzločineckými aktivitami skupiny ransomware TA505/Clop.
Stiahnutý súbor DLL je malvér LOBSHOT a je uložený v priečinku C:\ProgramData, kde ho spúšťa RunDLL32.exe. Podľa správy, ktorá odhalila podrobnosti o LOBSHOT, výskumníci od júla 2022 pozorovali viac ako 500 jedinečných vzoriek LOBSHOT. Identifikované vzorky sú zvyčajne zostavené ako 32-bitové DLL alebo 32-bitové spustiteľné súbory s veľkosťou od 93 KB do 124 KB. Po spustení na narušených zariadeniach LOBSHOT skontroluje, či je spustený program Microsoft Defender, a v prípade zistenia jeho spustenie ukončí.
Obsah
Kyberzločinci využívajú Google Ads na distribúciu malvérových hrozieb
Odborníci na kybernetickú bezpečnosť zaznamenali výrazný nárast používania reklám Google aktérmi hrozieb na šírenie škodlivého softvéru prostredníctvom výsledkov vyhľadávania. Škodlivé reklamné kampane zahŕňali napodobňovanie rôznych webových stránok a legitímnych softvérových produktov, ako sú 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus a niekoľko ďalších aplikácií.
Napriek dojmu legitímnosti, ktorý reklamy vyvolávajú, sú webové stránky, na ktoré presmerujú, v skutočnosti navrhnuté tak, aby šírili malvér, vrátane Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT a Royal Ransomware namiesto poskytovania originálnych aplikácií.
Malvér LOBSHOT sa zameriava na rozšírenia o kryptomeny a peňaženky
Ak LOBSHOT nenájde známky prítomnosti Microsoft Defender, bude pokračovať vo svojom hrozivom programovaní. Hrozba automaticky nakonfiguruje položky databázy Registry, aby sa zabezpečilo jej spustenie pri každom spustení systému Windows. LOBSHOT potom zozbiera a začne prenášať systémové informácie vrátane všetkých spustených procesov z infikovaného zariadenia. Okrem toho malvér hľadá prítomnosť 32 rozšírení peňaženky pre kryptomeny Chrome, deviatich rozšírení peňaženky Edge a 11 rozšírení peňaženky Firefox.
Po zistení týchto rozšírení škodlivý softvér spustí súbor v priečinku C:\ProgramData. Výskumníci si však nie sú istí, či je účelom súboru extrahovať údaje o rozšírení alebo inú škodlivú akciu.
Hoci je zhromažďovanie rozšírení o kryptomeny bežným cieľom malvéru, malvér LOBSHOT má vo svojej štruktúre zabudovaný aj modul hVNC. Tento modul umožňuje aktérom hrozieb pristupovať k infikovanému zariadeniu na diaľku diskrétne.
Malvér LOBSHOT poskytuje vzdialený prístup k narušeným zariadeniam
Možnosť vzdialene ovládať stolný počítač so systémom Windows bez vedomia obete umožňuje modul hVNC (skryté virtuálne siete).
Malvér známy ako LOBSHOT obsahuje modul hVNC, ktorý umožňuje aktérom hrozieb manipulovať so skrytou pracovnou plochou, ako keby sa pred ňou fyzicky nachádzali, pomocou klávesnice a myši.
Keď je modul aktivovaný, počítač obete začne prenášať snímky obrazovky skrytej pracovnej plochy počúvajúcemu klientovi ovládanému útočníkom. Útočník môže interagovať s klientom manipuláciou s klávesnicou, klikaním na tlačidlá a pohybom myši, čím získa úplné diaľkové ovládanie zariadenia.
S úplným prístupom, ktorý poskytuje hVNC, môžu aktéri hrozieb vykonávať rôzne činnosti, ako napríklad vykonávať príkazy, kradnúť údaje a nasadzovať ďalšie užitočné zaťaženie škodlivého softvéru.
