LOBSHOT Malware
Një kërcënim i ri malware i quajtur LOBSHOT është zbuluar se shpërndahet përmes Google Ads dhe është i aftë të infektojë pajisjet Windows duke përdorur hVNC. Malware u vëzhgua nga studiues të sigurisë kibernetike duke u promovuar nga reklamat që duket se janë për softuerin legjitim të menaxhimit në distancë AnyDesk. Sidoqoftë, reklamat me qëllim të keq në vend të kësaj i çojnë përdoruesit në një faqe interneti të rreme. Kjo faqe, 'amydeecke.website', shtyn një skedar MSI keqdashës që, nga ana tjetër, ekzekuton një komandë PowerShell. Qëllimi është të shkarkohet një DLL nga download-cdn[.]com, një domen që më parë është lidhur me aktivitetet kriminale kibernetike të grupit ransomware TA505/Clop.
Skedari DLL i shkarkuar është malware LOBSHOT dhe ruhet në dosjen C:\ProgramData, ku ekzekutohet nga RunDLL32.exe. Sipas një raporti, i cili zbuloi detaje rreth LOBSHOT, studiuesit kanë vëzhguar mbi 500 mostra unike LOBSHOT që nga korriku 2022. Mostrat e identifikuara zakonisht përpilohen si DLL 32-bit ose ekzekutues 32-bit që variojnë nga 93 KB deri në 124 KB. Pasi të ekzekutohet në pajisjet e shkelura, LOBSHOT kontrollon nëse Microsoft Defender po funksionon dhe e përfundon ekzekutimin e tij nëse zbulohet.
Tabela e Përmbajtjes
Kriminelët kibernetikë shfrytëzojnë reklamat e Google për të shpërndarë kërcënime malware
Ekspertët e sigurisë kibernetike kanë vërejtur një rritje të konsiderueshme të përdorimit të reklamave të Google nga aktorët kërcënues për të përhapur malware përmes rezultateve të kërkimit. Fushatat reklamuese me qëllim të keq përfshinin imitimin e faqeve të ndryshme të internetit dhe produkteve të ligjshme softuerike, si 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus dhe disa aplikacione të tjera.
Pavarësisht përshtypjes së legjitimitetit të dhënë nga reklamat, faqet e internetit ku ata ridrejtojnë janë krijuar në të vërtetë për të shpërndarë malware, duke përfshirë Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT dhe Royal Ransomware në vend që të ofrojnë aplikacione origjinale.
Malware LOBSHOT synon shtesat dhe kuletat e kriptomonedhave
Nëse LOBSHOT nuk gjen shenja të pranisë së Microsoft Defender, ai do të vazhdojë me programimin e tij kërcënues. Kërcënimi do të konfigurojë automatikisht shënimet e Regjistrit për të siguruar fillimin e tij në çdo nisje të Windows. LOBSHOT më pas do të mbledhë dhe do të fillojë transmetimin e informacionit të sistemit, duke përfshirë të gjitha proceset e ekzekutimit, nga pajisja e infektuar. Për më tepër, malware kërkon praninë e 32 shtesave të portofolit të kriptomonedhave Chrome, nëntë shtesave të portofolit Edge dhe 11 shtesave të portofolit të Firefox-it.
Me zbulimin e këtyre shtesave, malware ekzekuton një skedar në dosjen C:\ProgramData. Megjithatë, studiuesit nuk janë të sigurt nëse qëllimi i skedarit është nxjerrja e të dhënave shtesë ose ndonjë veprim tjetër i dëmshëm.
Megjithëse mbledhja e shtesave të kriptomonedhave është një qëllim i zakonshëm për malware, malware LOBSHOT ka gjithashtu një modul hVNC të inkorporuar në strukturën e tij. Ky modul u mundëson aktorëve të kërcënimit të aksesojnë një pajisje të infektuar në mënyrë diskrete nga distanca.
Malware LOBSHOT siguron qasje në distancë në pajisjet e dëmtuara
Mundësia për të kontrolluar nga distanca një kompjuter desktop Windows pa dijeninë e viktimës mundësohet nga moduli hVNC (informatikë e rrjetit virtual të fshehur).
Malware i njohur si LOBSHOT përfshin një modul hVNC, i cili u mundëson aktorëve të kërcënimit të manipulojnë desktopin e fshehur sikur të ishin fizikisht të pranishëm përpara tij, duke përdorur tastierën dhe miun e tyre.
Pasi të aktivizohet moduli, makina e viktimës fillon të transmetojë fotografitë e ekranit të desktopit të fshehur te një klient dëgjues i kontrolluar nga sulmuesi. Sulmuesi mund të ndërveprojë me klientin duke manipuluar tastierën, duke klikuar butonat dhe duke lëvizur miun, duke i dhënë atij kontroll të plotë të pajisjes në distancë.
Me akses të plotë të dhënë nga hVNC, aktorët e kërcënimit mund të kryejnë aktivitete të ndryshme, të tilla si ekzekutimi i komandave, vjedhja e të dhënave dhe vendosja e ngarkesave shtesë të malware.
