LOBSHOT Zlonamerna programska oprema
Ugotovljeno je bilo, da se nova grožnja zlonamerne programske opreme, imenovana LOBSHOT, distribuira prek Google Ads in lahko okuži naprave Windows, ki uporabljajo hVNC. Zlonamerno programsko opremo so opazili raziskovalci kibernetske varnosti, ki so jo oglaševali z oglasi, za katere se zdi, da so za zakonito programsko opremo za daljinsko upravljanje AnyDesk. Vendar pa zlonamerni oglasi uporabnike namesto tega vodijo na lažno spletno mesto. Ta stran, 'amydeecke.website,' potisne zlonamerno datoteko MSI, ki nato izvede ukaz PowerShell. Cilj je prenesti DLL iz download-cdn[.]com, domene, ki je bila prej povezana z dejavnostmi kibernetskega kriminala skupine izsiljevalskih programov TA505/Clop.
Prenesena datoteka DLL je zlonamerna programska oprema LOBSHOT in je shranjena v mapi C:\ProgramData, kjer jo izvede RunDLL32.exe. Glede na poročilo, ki je razkrilo podrobnosti o LOBSHOT-u, so raziskovalci od julija 2022 opazili več kot 500 edinstvenih vzorcev LOBSHOT-a. Identificirani vzorci so običajno sestavljeni kot 32-bitni DLL-ji ali 32-bitne izvršljive datoteke v velikosti od 93 KB do 124 KB. Ko se LOBSHOT izvede na napravah z vdorom, preveri, ali se Microsoft Defender izvaja, in prekine njegovo izvajanje, če je zaznan.
Kazalo
Kibernetski kriminalci izkoriščajo Google Ads za razširjanje groženj z zlonamerno programsko opremo
Strokovnjaki za kibernetsko varnost so opazili znatno povečanje uporabe Googlovih oglasov s strani akterjev groženj za širjenje zlonamerne programske opreme prek rezultatov iskanja. Zlonamerne oglaševalske akcije so vključevale posnemanje različnih spletnih mest in legitimnih programskih izdelkov, kot so 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus in številne druge aplikacije.
Kljub vtisu legitimnosti, ki ga dajejo oglasi, so spletna mesta, na katera preusmerjajo, dejansko zasnovana za širjenje zlonamerne programske opreme, vključno z Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT in Royal Ransomware , namesto da bi zagotavljala pristne aplikacije.
Zlonamerna programska oprema LOBSHOT cilja na razširitve in denarnice za kriptovalute
Če LOBSHOT ne najde znakov prisotnosti programa Microsoft Defender, bo nadaljeval z grozečim programiranjem. Grožnja bo samodejno konfigurirala vnose v registru, da zagotovi zagon ob vsakem zagonu sistema Windows. LOBSHOT bo nato zbral in začel prenašati informacije o sistemu, vključno z vsemi tekočimi procesi, iz okužene naprave. Poleg tega zlonamerna programska oprema išče prisotnost 32 razširitev denarnice za kriptovalute Chrome, devet razširitev denarnice Edge in 11 razširitev denarnice Firefox.
Ko zazna te razširitve, zlonamerna programska oprema izvede datoteko v mapi C:\ProgramData. Vendar pa raziskovalci niso prepričani, ali je namen datoteke pridobivanje razširitvenih podatkov ali kakšno drugo škodljivo dejanje.
Čeprav je zbiranje razširitev kriptovalut pogost cilj zlonamerne programske opreme, ima zlonamerna programska oprema LOBSHOT v svojo strukturo vgrajen tudi modul hVNC. Ta modul akterjem groženj omogoča diskreten dostop do okužene naprave na daljavo.
Zlonamerna programska oprema LOBSHOT omogoča oddaljeni dostop do naprav, v katerih je prišlo do vdora
Možnost oddaljenega nadzora namiznega računalnika Windows brez vednosti žrtve omogoča modul hVNC (hidden virtual network computing).
Zlonamerna programska oprema, znana kot LOBSHOT, vključuje modul hVNC, ki akterjem groženj omogoča, da s tipkovnico in miško manipulirajo s skritim namizjem, kot da bi bili fizično prisotni pred njim.
Ko je modul aktiviran, žrtvin stroj začne prenašati posnetke zaslona skritega namizja prisluškovalnemu odjemalcu, ki ga nadzira napadalec. Napadalec lahko komunicira z odjemalcem tako, da manipulira s tipkovnico, klika gumbe in premika miško, kar mu omogoča popoln daljinski nadzor nad napravo.
S polnim dostopom, ki ga odobri hVNC, lahko akterji groženj izvajajo različne dejavnosti, kot so izvrševanje ukazov, kraja podatkov in uvajanje dodatnih zlonamernih programov.
