LOBSHOT Zlonamerna programska oprema, odkrita s preiskavo zlonamernega oglaševanja
Raziskovalci laboratorija Elastic Security Labs so nedavno med temeljito preiskavo povečanja zlonamernih oglaševalskih kampanj odkrili novo zlonamerno programsko opremo, imenovano LOBSHOT . LOBSHOT je še posebej zanimiv, ker akterjem groženj omogoča skriti VNC (Virtual Network Computing) dostop do okuženih naprav. Raziskovalci so odkrili tudi povezave med zlonamerno programsko opremo in TA505, finančno motivirano skupino kibernetskih kriminalcev, znano po uvajanju različnih izsiljevalskih programov in bančnih trojancev .
Kazalo
Porast zlonamernih oglaševalskih akcij
Število zlorabnih oglaševalskih kampanj narašča, njihova prikrita narava pa uporabnikom otežuje razlikovanje med zakonitimi in zlonamernimi oglasi. Varnostni raziskovalci so opazili, da je to povečanje mogoče pripisati akterjem groženj, ki prodajajo zlonamerno oglaševanje kot storitev, kar dodatno poudarja pomen previdnosti pri interakciji s spletnimi oglasi.
V svoji raziskavi je Elastic Security Labs opazil opazen porast zlonamernih oglaševalskih kampanj, ki uporabljajo komplete izkoriščanja za ciljanje na specifične ranljivosti v široko uporabljanih aplikacijah. Te kampanje so vse pogosteje opazili na številnih priljubljenih spletnih mestih, zaradi česar so bili milijoni uporabnikov izpostavljeni potencialnim grožnjam. Običajno obiskovalci teh spletnih mest naletijo na zlonamerno oglaševanje, ki ob kliku preusmeri na ciljno stran kompleta za izkoriščanje, kjer se LOBSHOT na koncu izvede v uporabnikovi napravi.
TA505 Infrastruktura
TA505 , kibernetska kriminalna skupina, za katero se sumi, da stoji za razvojem in uvedbo LOBSHOT, je že dolgo znana po svojih obsežnih zlonamernih dejavnostih. Ta skupina je znana po dobro organiziranem in raznolikem naboru napadalnih kampanj, ki se posebej osredotočajo na finančne institucije kot njihove primarne tarče, a svoje zlonamerne dejavnosti širijo tudi na druge industrije.
Po analizi LOBSHOT je Elastic Security Labs ugotovil jasna prekrivanja med infrastrukturo zlonamerne programske opreme in predhodno identificirano infrastrukturo TA505. Podobnost v metodologijah napada in prekrivajoči se infrastrukturi dajeta verodostojnost hipotezi, da je TA505 odgovoren za razvoj in aktivno uporabo LOBSHOT.
Skriti dostop do VNC
Eden najbolj zaskrbljujočih vidikov LOBSHOT-a je njegova zmožnost, da akterjem groženj omogoči skriti dostop do naprav žrtev prek VNC. Ta specifična funkcija omogoča napadalcem pridobitev oddaljenega dostopa do okužene naprave, medtem ko obidejo soglasje uporabnika, kar jim omogoča nadzor, manipulacijo in izločanje občutljivih podatkov brez vednosti uporabnika. Zaradi skritega dostopa do VNC je LOBSHOT močno in nevarno orodje v arzenalu kibernetskih kriminalcev, zlasti tistih s finančnimi motivi.
Metoda distribucije
Ugotovljeno je bilo, da metoda distribucije zlonamerne programske opreme LOBSHOT vključuje zavajajoče taktike, izkoriščanje Googlovih oglasov in lažnih spletnih mest za privabljanje nič hudega slutečih žrtev. Te tehnike dodatno dokazujejo prefinjenost in prilagodljivost akterjev groženj, ki stojijo za to zlonamerno programsko opremo, zaradi česar je za končne uporabnike še bolj pomembno, da so previdni pri brskanju in klikanju oglasov.
Lažna spletna mesta prek Google Ads
Eden od glavnih načinov distribucije LOBSHOT je uporaba lažnih spletnih mest, promoviranih prek Google Ads. Akterji groženj ustvarjajo in vzdržujejo ta ponarejena spletna mesta, ki so zasnovana tako, da posnemajo zakonita spletna mesta in storitve. Z izkoriščanjem platforme Google Ads lahko nasprotniki prikažejo svoje zlonamerne oglase nič hudega slutečim uporabnikom, ki lahko kliknejo oglase pod vtisom, da so pristni, kar vodi do namestitve zlonamerne programske opreme LOBSHOT v njihove naprave.
Preusmerjanje uporabnikov na lažno domeno AnyDesk
Poleg uporabe lažnih spletnih mest postopek distribucije zlonamerne programske opreme LOBSHOT vključuje tudi preusmerjanje uporabnikov na ponarejeno domeno AnyDesk. AnyDesk je priljubljena aplikacija za oddaljeno namizje, na katero se številna podjetja in posamezniki zanašajo za oddaljeni dostop in podporo. Akterji groženj so to zaupanje izkoristili tako, da so ustvarili fiktivno domeno AnyDesk, da bi zavedli uporabnike v prenos zlonamerne različice programske opreme, ki je pravzaprav zlonamerna programska oprema LOBSHOT. Ta metoda dodatno poudarja zvito taktiko, ki jo uporabljajo ti kiberkriminalci, da ujamejo žrtve in izvajajo svoje zlonamerne dejavnosti.
Namestitev prek ogroženega sistema
V nekaterih primerih se lahko zlonamerna programska oprema LOBSHOT namesti na napravo žrtve prek ogroženega sistema. To se lahko zgodi, če uporabnik nevede obišče ali prenese vsebino s spletnega mesta, ki je bilo okuženo z zlonamerno programsko opremo, ali če je postal tarča kampanje lažnega predstavljanja. Ko se zlonamerna programska oprema uspešno infiltrira v napravo žrtve, lahko omogoči skriti dostop VNC akterju grožnje, ki lahko nato na daljavo nadzoruje in manipulira sistem po želji.
Zmogljivosti LOBSHOT-a
Zlonamerna programska oprema LOBSHOT se ponaša z vrsto neverjetnih zmogljivosti, zaradi katerih je spreten pri infiltraciji in izkoriščanju uporabniških naprav. Zlonamerna programska oprema se osredotoča predvsem na skrito virtualno omrežno računalništvo (hVNC), ki napadalcem omogoča oddaljen nadzor nad okuženimi napravami in dostop do njihovega uporabniškega vmesnika. Glavne zmogljivosti LOBSHOT vključujejo:
Računalništvo v skritem navideznem omrežju (hVNC)
V središču funkcionalnosti LOBSHOT je njegova zmožnost zagotavljanja skritega dostopa VNC do žrtvinih naprav. Prek hVNC je napadalcem omogočena prikrita metoda daljinskega upravljanja naprave brez privolitve ali vednosti žrtve. Zaradi funkcije hVNC je LOBSHOT še posebej nevaren, saj slabim akterjem omogoča, da ohranijo prikrito prisotnost na ogroženih napravah, medtem ko izvajajo različne nečedne dejavnosti.
Daljinsko upravljanje naprave
Zmogljivosti hVNC programa LOBSHOT omogočajo napadalcem, da prevzamejo popoln nadzor nad okuženimi napravami, izvajajo ukaze, spreminjajo in dostopajo do virov, kot da bi bili zakoniti uporabniki. Ta raven nadzora omogoča akterjem groženj, da izvajajo širok spekter zlonamernih dejavnosti, vključno z izruvanjem podatkov, nameščanjem dodatne zlonamerne programske opreme in izvajanjem vohunskih kampanj. Zmožnost daljinskega nadzora naprave žrtve poudarja pomembno grožnjo, ki jo predstavlja LOBSHOT.
Celoten grafični uporabniški vmesnik (GUI)
Zlonamerna programska oprema ima tudi možnost dostopa do celotnega grafičnega uporabniškega vmesnika (GUI) ciljne naprave, kar pomeni, da lahko napadalec vizualno komunicira z namiznim okoljem naprave. Ta funkcija zlonamerni programski opremi doda še eno raven učinkovitosti in nadzora, tako da povzročitelju grožnje olajša navigacijo in manipulacijo ogrožene naprave. Dostop do celotnega grafičnega uporabniškega vmesnika napadalcu omogoča spremljanje uporabnikovih dejavnosti, dostop do občutljivih informacij in izvajanje dejanj, ki so pripisana zakonitemu uporabniku, kar dodatno poudarja škodljivost LOBSHOT-a.
Ublažitev in pomisleki
Zlonamerna programska oprema LOBSHOT povzroča velike skrbi tako posameznim uporabnikom kot organizacijam zaradi svojih skritih zmogljivosti VNC in povezave s finančno motiviranimi akterji groženj, kot je TA505. Ublažitev in obravnavanje teh skrbi vključujeta razumevanje morebitnih tveganj in izvajanje ustreznih obrambnih ukrepov ter pozivanje k strožjim predpisom na platformah, kot je Google Ads.
Kraja bančnih in finančnih informacij
Ena od glavnih skrbi v zvezi z LOBSHOT je njegova možnost kraje bančnih in finančnih podatkov iz okuženih naprav. Njegov skriti dostop VNC omogoča napadalcem, da se neopazno infiltrirajo v naprave, spremljajo dejavnosti uporabnikov in zajemajo občutljive podatke, kot so poverilnice za prijavo, številke računov in podrobnosti transakcij. Takšne informacije je mogoče izkoristiti za ekonomsko pridobitev ali uporabiti v nadaljnjih napadih, kot je polnjenje poverilnic ali lažno predstavljanje.
Poziva k strožji zakonodaji glede oglaševanja v Googlu
V odgovor na naraščajočo grožnjo distribucije zlonamerne programske opreme prek Google Ads je več raziskovalcev in varnostnih strokovnjakov pozvalo Alphabet, Googlovo holding družbo, naj uvede strožje predpise o odobritvi oglasov. Uvedba robustnejših postopkov pregledovanja oglasov in mehanizmov preverjanja lahko pomaga zmanjšati širjenje zlonamerne programske opreme, kot je LOBSHOT, in zmanjša tveganje, da nič hudega sluteči uporabniki postanejo žrtve takšnih groženj. Medtem morajo končni uporabniki sprejeti previdnostne ukrepe in preveriti legitimnost domene, ki jo obiskujejo, in programske opreme, ki jo prenašajo.