ЛОБСХОТ Малвер откривен путем истраге о малвертисингу
Истраживачи Еластиц Сецурити Лабс-а су недавно открили нови малвер под називом ЛОБСХОТ током њихове темељне истраге повећања броја злонамерних кампања. ЛОБСХОТ је од посебног интереса јер актерима претњи даје скривени ВНЦ (виртуелно мрежно рачунарство) приступ зараженим уређајима. Истраживачи су такође открили везе између малвера и ТА505, финансијски мотивисане сајбер криминалне групе познате по примени различитих рансомвера и банкарских тројанаца .
Преглед садржаја
Повећање броја злонамерних кампања
Број злонамерних кампања расте, а њихова прикривена природа отежава корисницима да разликују легитимне и злонамерне рекламе. Истраживачи безбедности су приметили да се овај пораст може приписати актерима претњи који продају малвертисинг-као-услугу, додатно наглашавајући важност будности приликом интеракције са онлајн огласима.
Током свог истраживања, Еластиц Сецурити Лабс је приметио значајан пораст у кампањама злонамерног рекламирања које користе комплете за експлоатацију за циљање специфичних рањивости у широко коришћеним апликацијама. Ове кампање се све чешће примећују на неколико популарних веб локација, излажући милионе корисника потенцијалним претњама. Типично, посетиоци ових веб локација наилазе на злонамерне рекламе које, када се кликну, преусмеравају на одредишну страницу комплета за експлоатацију где се ЛОБСХОТ на крају извршава на уређају корисника.
ТА505 Инфраструктура
ТА505 , група кибернетичких криминалаца за коју се сумња да стоји иза развоја и примене ЛОБСХОТ-а, одавно је позната по својим широким злонамерним активностима. Ова група је позната по својим добро организованим и разноврсним кампањама напада, посебно фокусираних на финансијске институције као њихове примарне мете, али и ширећи своје злонамерне активности на друге индустрије.
Након анализе ЛОБСХОТ-а, Еластиц Сецурити Лабс је открио јасна преклапања између инфраструктуре малвера и претходно идентификоване инфраструктуре ТА505. Сличност у методологијама напада и инфраструктури која се преклапа даје веродостојност хипотези да је ТА505 одговоран за развој и активну употребу ЛОБСХОТ-а.
Скривени ВНЦ приступ
Један од најзабрињавајућих аспеката ЛОБСХОТ-а је његова способност да актерима претњи омогући скривени приступ уређајима жртава преко ВНЦ-а. Ова специфична карактеристика омогућава нападачима да добију даљински приступ зараженом уређају док заобилазе сагласност корисника, пружајући им могућност да надгледају, манипулишу и ексфилтрирају осетљиве податке без знања корисника. Скривени ВНЦ приступ чини ЛОБСХОТ моћним и опасним алатом у арсеналу сајбер криминалаца, посебно оних са финансијским мотивима.
Метод дистрибуције
Примећено је да метода дистрибуције злонамерног софтвера ЛОБСХОТ укључује обмањујуће тактике, коришћење Гоогле Адс-а и лажних веб-сајтова за привлачење несуђених жртава. Ове технике даље демонстрирају софистицираност и прилагодљивост актера претњи који стоје иза овог малвера, што чини још важнијим за крајње кориснике да буду опрезни када прегледају и кликну на рекламе.
Лажне веб странице преко Гоогле Адс-а
Један од примарних начина на који се ЛОБСХОТ дистрибуира је коришћење лажних веб локација које се промовишу преко Гоогле Адс-а. Актери претњи креирају и одржавају ове лажне веб-сајтове, који су дизајнирани да опонашају легитимне веб-сајтове и услуге. Искоришћавањем Гоогле Адс платформе, противници могу да прикажу своје злонамерне рекламе несумњивим корисницима који могу да кликну на огласе под утиском да су оригинални, што доводи до инсталирања ЛОБСХОТ малвера на њихове уређаје.
Преусмеравање корисника на лажни АниДеск домен
Осим коришћења лажних веб локација, процес дистрибуције злонамерног софтвера ЛОБСХОТ такође укључује преусмеравање корисника на лажни АниДеск домен. АниДеск је популарна апликација за удаљену радну површину на коју се многа предузећа и појединци ослањају за даљински приступ и подршку. Актери претњи су искористили ово поверење тако што су креирали фиктивни АниДеск домен како би обманули кориснике да преузму злонамерну верзију софтвера, што је заправо ЛОБСХОТ малвер. Овај метод додатно наглашава лукаву тактику коју користе ови сајбер криминалци да заробе жртве и изврше своје злонамерне активности.
Инсталација преко компромитованог система
У неким случајевима, ЛОБСХОТ малвер се може инсталирати на уређај жртве преко компромитованог система. Ово може да се деси ако корисник несвесно посети или преузме садржај са веб локације која је заражена малвером или ако је постао мета кампање крађе идентитета. Када се малвер успешно инфилтрира у уређај жртве, може да одобри скривени ВНЦ приступ актеру претње, који затим може даљински да контролише и манипулише системом по жељи.
ЛОБСХОТ-ове могућности
Злонамерни софтвер ЛОБСХОТ се може похвалити низом огромних могућности које га чине вештим у инфилтрирању и искоришћавању корисничких уређаја. Малвер се првенствено фокусира на скривено рачунарство виртуелне мреже (хВНЦ), омогућавајући нападачима да даљински контролишу заражене уређаје и приступе њиховом корисничком интерфејсу. Основне могућности ЛОБСХОТ-а укључују:
Скривено виртуелно мрежно рачунарство (хВНЦ)
У срцу функционалности ЛОБСХОТ-а је његов капацитет да обезбеди скривени ВНЦ приступ уређајима жртве. Преко хВНЦ-а, нападачима се даје тајни метод даљинске контроле уређаја без пристанка или знања жртве. Функција хВНЦ чини ЛОБСХОТ посебно опасним, јер омогућава лошим актерима да задрже скривено присуство на компромитованим уређајима док изводе разне злобне активности.
Даљинско управљање уређајем
ЛОБСХОТ-ове хВНЦ могућности омогућавају нападачима да преузму потпуну контролу над зараженим уређајима, извршавају команде, уносе промене и приступају ресурсима као да су легитимни корисник. Овај ниво контроле омогућава актерима претњи да спроводе широк спектар злонамерних активности, укључујући ексфилтрацију података, инсталирање додатног малвера и спровођење шпијунских кампања. Могућност даљинске контроле уређаја жртве наглашава значајну претњу коју представља ЛОБСХОТ.
Потпуни графички кориснички интерфејс (ГУИ)
Малвер такође има могућност да приступи пуном графичком корисничком интерфејсу (ГУИ) циљног уређаја, што значи да нападач може визуелно да комуницира са радним окружењем уређаја. Ова функција додаје још један ниво ефикасности и контроле малверу тако што чинилац претњи олакшава навигацију и манипулисање компромитованим уређајем. Приступ потпуном ГУИ омогућава нападачу да надгледа активности корисника, приступи осетљивим информацијама и изврши радње које се приписују легитимном кориснику, додатно наглашавајући погубност ЛОБСХОТ-а.
Ублажавање и забринутост
ЛОБСХОТ малвер представља значајну забринутост и за појединачне кориснике и за организације, захваљујући својим скривеним ВНЦ могућностима и повезаности са финансијски мотивисаним актерима претњи као што је ТА505. Ублажавање и решавање ових забринутости подразумева разумевање потенцијалних ризика и примену одговарајућих одбрамбених мера, као и позивање на строже прописе о платформама као што је Гоогле Адс.
Крађа банкарских и финансијских информација
Једна од примарних брига око ЛОБСХОТ-а је његов потенцијал да украде банкарске и финансијске информације са заражених уређаја. Његов скривени ВНЦ приступ омогућава нападачима да се неоткривено инфилтрирају на уређаје, надгледају активности корисника и ухвате осетљиве податке као што су акредитиви за пријаву, бројеви рачуна и детаљи трансакције. Такве информације се могу искористити за економску добит или користити у даљим нападима, као што су пуњење акредитива или пхисхинг кампање.
Позива на строжију регулативу о огласима на Гоогле-у
Као одговор на растућу претњу дистрибуције злонамерног софтвера преко Гоогле Адс-а, неколико истраживача и професионалаца за безбедност позвало је Алфабет, Гоогле-ову холдинг компанију, да наметне строжије прописе о одобравању реклама. Примена робуснијих процеса скрининга огласа и механизама верификације може помоћи да се минимизира ширење злонамерног софтвера као што је ЛОБСХОТ и да се смањи ризик да несумњиви корисници постану жртве таквих претњи. У међувремену, крајњи корисници би требало да предузму мере предострожности проверавајући легитимност домена који посећују и софтвера који преузимају.