ЛОБСХОТ Малваре
Утврђено је да се нова претња злонамерног софтвера под називом ЛОБСХОТ дистрибуира преко Гоогле Адс-а и може да зарази Виндовс уређаје користећи хВНЦ. Малвер су приметили истраживачи сајбер-безбедности који су промовисани огласима који су изгледали као легитимни софтвер за даљинско управљање АниДеск. Међутим, злонамерни огласи уместо тога воде кориснике на лажну веб локацију. Ова страница, 'амидеецке.вебсите', гура злонамерну МСИ датотеку која заузврат извршава ПоверСхелл команду. Циљ је преузимање ДЛЛ-а са довнлоад-цдн[.]цом, домена који је раније био повезан са сајбер криминалним активностима групе ТА505/Цлоп рансомваре.
Преузета ДЛЛ датотека је ЛОБСХОТ малвер и чува се у фасцикли Ц:\ПрограмДата, где је извршава РунДЛЛ32.еке. Према извештају који је открио детаље о ЛОБСХОТ-у, истраживачи су приметили преко 500 јединствених ЛОБСХОТ узорака од јула 2022. Идентификовани узорци се обично компајлирају као 32-битне ДЛЛ-ове или 32-битне извршне датотеке у распону од 93 КБ до 124 КБ. Када се изврши на оштећеним уређајима, ЛОБСХОТ проверава да ли је Мицрософт Дефендер покренут и прекида његово извршење ако га открије.
Преглед садржаја
Сајбер криминалци користе Гоогле Адс за дистрибуцију претњи од малвера
Стручњаци за сајбер безбедност приметили су значајан пораст употребе Гоогле огласа од стране актера претњи за ширење малвера кроз резултате претраге. Злонамерне рекламне кампање укључивале су имитацију различитих веб локација и легитимних софтверских производа, као што су 7-ЗИП, ВЛЦ, ОБС, Нотепад++, ЦЦлеанер, ТрадингВиев, Руфус и неколико других апликација.
Упркос утиску легитимитета који дају огласи, веб-сајтови на које преусмеравају заправо су дизајнирани да шире злонамерни софтвер, укључујући Гози , РедЛине , Видар , Цобалт Стрике , СецтоРАТ и Роиал Рансомваре уместо да пружају оригиналне апликације.
Злонамерни софтвер ЛОБСХОТ циља екстензије за криптовалуте и новчанике
Ако ЛОБСХОТ не пронађе знаке присуства Мицрософт Дефендер-а, наставиће са својим претећим програмирањем. Претња ће аутоматски конфигурисати уносе у регистратору како би осигурала његово покретање при сваком покретању Виндовс-а. ЛОБСХОТ ће затим прикупити и почети да преноси системске информације, укључујући све покренуте процесе, са зараженог уређаја. Поред тога, злонамерни софтвер тражи присуство 32 Цхроме проширења новчаника за криптовалуте, девет екстензија Едге новчаника и 11 екстензија за Фирефок новчаник.
Када открије ове екстензије, злонамерни софтвер покреће датотеку у фасцикли Ц:\ПрограмДата. Међутим, истраживачи нису сигурни да ли је сврха датотеке извлачење података о екстензијама или нека друга штетна радња.
Иако је прикупљање екстензија за криптовалуте уобичајени циљ за малвер, ЛОБСХОТ малвер такође има хВНЦ модул уграђен у своју структуру. Овај модул омогућава актерима претњи да дискретно приступе зараженом уређају са даљине.
Злонамерни софтвер ЛОБСХОТ обезбеђује даљински приступ оштећеним уређајима
Могућност даљинске контроле Виндовс десктоп рачунара без знања жртве омогућава хВНЦ (хидден виртуел нетворк цомпутинг) модул.
Малвер познат као ЛОБСХОТ укључује хВНЦ модул, који омогућава актерима претњи да манипулишу скривеном радном површином као да су физички присутни испред ње, користећи своју тастатуру и миш.
Када се модул активира, жртвина машина почиње да емитује снимке екрана скривене радне површине клијенту који слуша који контролише нападач. Нападач може да комуницира са клијентом манипулисањем тастатуром, кликом на дугмад и померањем миша, дајући им потпуну даљинску контролу над уређајем.
Уз потпуни приступ који даје хВНЦ, актери претњи могу да спроводе различите активности, као што су извршавање команди, крађа података и примена додатног садржаја злонамерног софтвера.
