Zbritje me shumë licenca
Computer Security Malware LOBSHOT u zbulua nëpërmjet hetimit të...

Malware LOBSHOT u zbulua nëpërmjet hetimit të keqverifikimeve

Nga MuraComputer Security
Përkthe në:
Shqip

Studiuesit e Elastic Security Labs kanë zbuluar kohët e fundit një malware të ri të quajtur LOBSHOT gjatë hetimit të tyre të plotë për një rritje të fushatave të keqverifikimeve. LOBSHOT është me interes të veçantë sepse u jep aktorëve të kërcënimit qasje të fshehur VNC (Virtual Network Computing) në pajisjet e infektuara. Studiuesit gjetën gjithashtu lidhje midis malware dhe TA505, një grup kriminal kibernetik i motivuar financiarisht, i njohur për vendosjen e trojanëve të ndryshëm ransomware dhe bankar .

Rritje në fushatat e keqverifikimeve

Fushatat e keqverifikimeve janë duke u rritur në numër dhe natyra e tyre e fshehtë e bën të vështirë për përdoruesit të bëjnë dallimin midis reklamave legjitime nga ato keqdashëse. Studiuesit e sigurisë kanë vërejtur se kjo rritje mund t'i atribuohet aktorëve të kërcënimit që shesin keqvertim-si-shërbim, duke theksuar më tej rëndësinë e të qenit vigjilent kur ndërveproni me reklamat në internet.

Gjatë gjithë hulumtimit të tyre, Elastic Security Labs vëzhguan një rritje të dukshme në fushatat e keqverifikimeve duke përdorur komplete shfrytëzimi për të synuar dobësitë specifike në aplikacionet e përdorura gjerësisht. Këto fushata janë vërejtur gjithnjë e më shumë në disa faqe interneti të njohura, duke ekspozuar miliona përdorues ndaj kërcënimeve të mundshme. Në mënyrë tipike, vizitorët e këtyre faqeve të internetit ndeshen me reklama të gabuara që, kur klikohen, ridrejtohen në një faqe të uljes së kompletit të shfrytëzimit ku LOBSHOT përfundimisht ekzekutohet në pajisjen e përdoruesit.

TA505 Infrastruktura

TA505 , grupi kriminal kibernetik i dyshuar se qëndron pas zhvillimit dhe vendosjes së LOBSHOT, është njohur prej kohësh për aktivitetet e tij me qëllim të keq. Ky grup është i njohur për gamën e tij të mirëorganizuar dhe të larmishme të fushatave të sulmit, duke u fokusuar në mënyrë specifike në institucionet financiare si objektivat e tyre kryesore, por gjithashtu duke shtrirë aktivitetet e tyre keqdashëse në industri të tjera.

Pas analizës së LOBSHOT, Elastic Security Labs gjetën mbivendosje të qarta midis infrastrukturës së malware dhe infrastrukturës TA505 të identifikuar më parë. Ngjashmëria në metodologjitë e sulmit dhe mbivendosja e infrastrukturës i jep besim hipotezës se TA505 është përgjegjëse për zhvillimin dhe përdorimin aktiv të LOBSHOT.

Qasje e fshehur VNC

Një nga aspektet më shqetësuese të LOBSHOT është aftësia e tij për t'u dhënë aktorëve të kërcënimit akses të fshehur në pajisjet e viktimave përmes VNC. Kjo veçori specifike i lejon sulmuesit të kenë akses në distancë në një pajisje të infektuar duke anashkaluar pëlqimin e përdoruesit, duke u ofruar atyre mundësinë për të monitoruar, manipuluar dhe shfrytëzuar të dhëna të ndjeshme pa dijeninë e përdoruesit. Qasja e fshehur VNC e bën LOBSHOT një mjet të fuqishëm dhe të rrezikshëm në arsenalin e kriminelëve kibernetikë, veçanërisht të atyre me motivime financiare.

Metoda e shpërndarjes

Metoda e shpërndarjes së malware LOBSHOT është vërejtur se përfshin taktika mashtruese, duke përdorur Google Ads dhe faqe interneti të rreme për të joshur viktima që nuk dyshojnë. Këto teknika demonstrojnë më tej sofistikimin dhe përshtatshmërinë e aktorëve të kërcënimit që qëndrojnë pas këtij malware, duke e bërë edhe më kritike për përdoruesit fundorë që të jenë të kujdesshëm kur shfletojnë dhe klikojnë reklama.

Uebfaqe të rreme përmes Google Ads

Një nga mënyrat kryesore se si shpërndahet LOBSHOT është përdorimi i faqeve të rreme të internetit të promovuara nëpërmjet Google Ads. Aktorët e kërcënimit krijojnë dhe mirëmbajnë këto faqe interneti të falsifikuara, të cilat janë krijuar për të imituar faqet e internetit dhe shërbimet legjitime. Duke shfrytëzuar platformën Google Ads, kundërshtarët mund t'u shfaqin reklamat e tyre keqdashëse përdoruesve që nuk dyshojnë, të cilët mund të klikojnë mbi reklamat me përshtypjen se ato janë të vërteta, duke çuar në instalimin e malware LOBSHOT në pajisjet e tyre.

Ridrejtimi i përdoruesve në domenin e rremë të AnyDesk

Përveç përdorimit të faqeve të rreme të internetit, procesi i shpërndarjes për malware LOBSHOT përfshin gjithashtu ridrejtimin e përdoruesve në një domen të falsifikuar AnyDesk. AnyDesk është një aplikacion popullor për desktop në distancë, tek i cili mbështeten shumë biznese dhe individë për akses dhe mbështetje në distancë. Aktorët e kërcënimit kanë përfituar nga ky besim duke krijuar një domen fiktive AnyDesk për të mashtruar përdoruesit që të shkarkojnë një version me qëllim të keq të softuerit, i cili në fakt është malware LOBSHOT. Kjo metodë thekson më tej taktikat dinake të përdorura nga këta kriminelë kibernetikë për të kapur viktimat dhe për të ekzekutuar aktivitetet e tyre keqdashëse.

Instalimi përmes sistemit të kompromentuar

Në disa raste, malware LOBSHOT mund të instalohet në pajisjen e viktimës nëpërmjet një sistemi të komprometuar. Kjo mund të ndodhë nëse përdoruesi pa vetëdije viziton ose shkarkon përmbajtje nga një faqe interneti që është infektuar nga malware ose nëse ata janë bërë objektiv i një fushate spear-phishing. Pasi malware të ketë depërtuar me sukses pajisjen e viktimës, ai mund t'i japë akses të fshehur VNC aktorit të kërcënimit, i cili më pas mund të kontrollojë dhe manipulojë nga distanca sistemin sipas dëshirës.

Aftësitë e LOBSHOT

Malware LOBSHOT krenohet me një sërë aftësish të jashtëzakonshme që e bëjnë atë të aftë në infiltrimin dhe shfrytëzimin e pajisjeve të përdoruesve. Malware fokusohet kryesisht në kompjuterin e fshehur të rrjetit virtual (hVNC), duke i lejuar sulmuesit të kontrollojnë në distancë pajisjet e infektuara dhe të kenë akses në ndërfaqen e tyre të përdoruesit. Aftësitë kryesore të LOBSHOT përfshijnë:

Llogaritja e rrjetit virtual të fshehur (hVNC)

Në zemër të funksionalitetit të LOBSHOT është kapaciteti i tij për të ofruar akses të fshehur VNC në pajisjet e viktimave. Nëpërmjet hVNC, sulmuesve u jepet një metodë e fshehtë për të kontrolluar në distancë një pajisje pa pëlqimin ose dijeninë e viktimës. Veçoria hVNC e bën LOBSHOT veçanërisht të rrezikshëm, pasi lejon aktorët e këqij të mbajnë një prani të fshehtë në pajisjet e komprometuara gjatë kryerjes së aktiviteteve të ndryshme të mbrapshta.

Telekomanda e pajisjes

Aftësitë hVNC të LOBSHOT u mundësojnë sulmuesve të marrin kontrollin e plotë të pajisjeve të infektuara, të ekzekutojnë komanda, të bëjnë ndryshime dhe të aksesojnë burimet sikur të ishin përdoruesi legjitim. Ky nivel kontrolli i lejon aktorët e kërcënimit të kryejnë një gamë të gjerë aktivitetesh keqdashëse, duke përfshirë ekfiltrimin e të dhënave, instalimin e malware shtesë dhe kryerjen e fushatave spiunazhi. Aftësia për të kontrolluar në distancë pajisjen e viktimës nënvizon kërcënimin e rëndësishëm që paraqet LOBSHOT.

Ndërfaqja e plotë grafike e përdoruesit (GUI)

Malware gjithashtu ka aftësinë për të hyrë në ndërfaqen e plotë grafike të përdoruesit (GUI) të pajisjes së synuar, që do të thotë se sulmuesi mund të ndërveprojë vizualisht me mjedisin e desktopit të pajisjes. Kjo veçori shton një shtresë tjetër efikasiteti dhe kontrolli te malware duke e bërë më të lehtë për aktorin e kërcënimit të lundrojë dhe manipulojë pajisjen e komprometuar. Qasja në GUI-në e plotë i mundëson sulmuesit të monitorojë aktivitetet e përdoruesit, të aksesojë informacione të ndjeshme dhe të kryejë veprime që i atribuohen përdoruesit legjitim, duke theksuar më tej dëmshmërinë e LOBSHOT.

Zbutja dhe shqetësimet

Malware LOBSHOT paraqet shqetësime të rëndësishme si për përdoruesit individualë ashtu edhe për organizatat, për shkak të aftësive të tij të fshehura VNC dhe lidhjes me aktorë kërcënimi të motivuar financiarisht si TA505. Zbutja dhe adresimi i këtyre shqetësimeve përfshin të kuptuarit e rreziqeve të mundshme dhe zbatimin e masave të përshtatshme mbrojtëse, si dhe thirrjen për rregulla më të rrepta në platforma të tilla si Google Ads.

Vjedhja e informacionit bankar dhe financiar

Një nga shqetësimet kryesore që rrethon LOBSHOT është potenciali i tij për të vjedhur informacione bankare dhe financiare nga pajisjet e infektuara. Qasja e tij e fshehur VNC i lejon sulmuesit të depërtojnë në pajisje të pazbuluara, të monitorojnë aktivitetet e përdoruesve dhe të kapin të dhëna të ndjeshme si kredencialet e hyrjes, numrat e llogarisë dhe detajet e transaksionit. Një informacion i tillë mund të shfrytëzohet për përfitime ekonomike ose të përdoret në sulme të mëtejshme, të tilla si mbushje kredenciale ose fushata phishing.

Thirrje për rregullore më të rrepta të reklamave në Google

Në përgjigje të kërcënimit në rritje të shpërndarjes së malware përmes Google Ads, disa studiues dhe profesionistë të sigurisë kanë kërkuar që Alphabet, kompania mbajtëse e Google, të vendosë rregulla më të rrepta për miratimin e reklamave. Zbatimi i proceseve më të fuqishme të shqyrtimit të reklamave dhe mekanizmave të verifikimit mund të ndihmojë në minimizimin e përhapjes së malware si LOBSHOT dhe të zvogëlojë rrezikun e përdoruesve që nuk dyshojnë të bien viktimë e kërcënimeve të tilla. Ndërkohë, përdoruesit përfundimtarë duhet të marrin masa paraprake duke verifikuar legjitimitetin e domenit që po vizitojnë dhe softuerit që po shkarkojnë.

Po ngarkohet...