LOBSHOT skadlig programvara upptäckt via malvertising-undersökning
Forskare från Elastic Security Labs har nyligen upptäckt en ny skadlig programvara som heter LOBSHOT under deras grundliga undersökning av en ökning av malvertisingkampanjer. LOBSHOT är av särskilt intresse eftersom det ger hotaktörer dold VNC-åtkomst (Virtual Network Computing) till infekterade enheter. Forskarna hittade också kopplingar mellan skadlig programvara och TA505, en ekonomiskt motiverad cyberkriminell grupp känd för att ha distribuerat olika ransomware och banktrojaner .
Innehållsförteckning
Toppen i malvertisingkampanjer
Malvertisingkampanjer har ökat i antal, och deras smygande karaktär gör det svårt för användare att skilja mellan legitima och skadliga annonser. Säkerhetsforskare har observerat att denna ökning kan tillskrivas hotaktörer som säljer malvertising-as-a-service, vilket ytterligare betonar vikten av att vara vaksam när de interagerar med onlineannonser.
Under hela sin forskning observerade Elastic Security Labs en framträdande ökning i malvertising-kampanjer som använder exploateringssatser för att rikta in sig på specifika sårbarheter i ofta använda applikationer. Dessa kampanjer har i allt högre grad observerats på flera populära webbplatser, och exponerar miljontals användare för potentiella hot. Vanligtvis stöter besökare på dessa webbplatser på felannonsering som, när de klickas, omdirigerar till en landningssida för exploit-kit där LOBSHOT så småningom körs på användarens enhet.
TA505 Infrastruktur
TA505 , den cyberkriminella gruppen som misstänks ligga bakom utvecklingen och distributionen av LOBSHOT, har länge uppmärksammats för sina omfattande skadliga aktiviteter. Denna grupp är känd för sitt välorganiserade och mångsidiga utbud av attackkampanjer, som specifikt fokuserar på finansiella institutioner som sina primära mål men också utvidgar deras skadliga aktiviteter till andra branscher.
Efter analysen av LOBSHOT fann Elastic Security Labs tydliga överlappningar mellan skadlig programvaras infrastruktur och tidigare identifierade TA505-infrastruktur. Likheten i attackmetoder och överlappande infrastruktur ger trovärdighet åt hypotesen att TA505 är ansvarig för utvecklingen och aktiv användning av LOBSHOT.
Dold VNC-åtkomst
En av de mest oroande aspekterna av LOBSHOT är dess förmåga att ge hotaktörer dold tillgång till offrens enheter via VNC. Denna specifika funktion tillåter angripare att få fjärråtkomst till en infekterad enhet samtidigt som de kringgår användarens samtycke, vilket ger dem möjlighet att övervaka, manipulera och exfiltrera känslig data utan användarens vetskap. Den dolda VNC-åtkomsten gör LOBSHOT till ett kraftfullt och farligt verktyg i arsenalen av cyberkriminella, särskilt de med ekonomiska motiv.
Distributionsmetod
Distributionsmetoden för LOBSHOT skadlig programvara har observerats involvera vilseledande taktik, utnyttjande av Google Ads och falska webbplatser för att locka intet ont anande offer. Dessa tekniker visar ytterligare sofistikeringen och anpassningsförmågan hos hotaktörerna bakom denna skadliga programvara, vilket gör det ännu viktigare för slutanvändare att vara försiktiga när de surfar och klickar på annonser.
Falska webbplatser via Google Ads
Ett av de primära sätten att distribuera LOBSHOT är genom användning av falska webbplatser som marknadsförs via Google Ads. Hotaktörerna skapar och underhåller dessa förfalskade webbplatser, som är utformade för att efterlikna legitima webbplatser och tjänster. Genom att utnyttja Google Ads-plattformen kan motståndarna visa sina skadliga annonser för intet ont anande användare som kan klicka på annonserna under intrycket att de är äkta, vilket leder till installation av LOBSHOT skadlig programvara på deras enheter.
Omdirigerar användare till falsk AnyDesk-domän
Förutom att använda falska webbplatser, involverar distributionsprocessen för LOBSHOT skadlig programvara också omdirigering av användare till en förfalskad AnyDesk-domän. AnyDesk är en populär fjärrskrivbordsapplikation som många företag och privatpersoner litar på för fjärråtkomst och support. Hotaktörerna har utnyttjat detta förtroende genom att skapa en fiktiv AnyDesk-domän för att lura användare att ladda ner en skadlig version av programvaran, som faktiskt är LOBSHOT skadlig kod. Denna metod belyser ytterligare den listiga taktiken som används av dessa cyberbrottslingar för att snärja offer och utföra deras skadliga aktiviteter.
Installation genom kompromitterat system
I vissa fall kan LOBSHOT skadlig programvara installeras på ett offers enhet genom ett intrånget system. Detta kan inträffa om användaren omedvetet besöker eller laddar ner innehåll från en webbplats som har infekterats av skadlig programvara eller om de har blivit ett mål för en spjutfiskekampanj. När skadlig programvara framgångsrikt har infiltrerat offrets enhet, kan den ge dold VNC-åtkomst till hotaktören, som sedan kan fjärrstyra och manipulera systemet efter önskemål.
LOBSHOTs kapacitet
LOBSHOT skadlig programvara har en rad formidabla möjligheter som gör den skicklig på att infiltrera och utnyttja användarenheter. Skadlig programvara fokuserar främst på dolda virtuella nätverksdatorer (hVNC), vilket gör att angriparna kan fjärrstyra infekterade enheter och komma åt deras användargränssnitt. Kärnfunktionerna hos LOBSHOT inkluderar:
Hidden Virtual Network Computing (hVNC)
Kärnan i LOBSHOTs funktionalitet är dess förmåga att ge dold VNC-åtkomst till offerenheter. Genom hVNC beviljas angripare en hemlig metod för att fjärrstyra en enhet utan samtycke eller vetskap från offret. hVNC-funktionen gör LOBSHOT särskilt farlig, eftersom den tillåter dåliga skådespelare att upprätthålla en smyg närvaro på komprometterade enheter medan de utför olika otrevliga aktiviteter.
Fjärrkontroll av enheten
LOBSHOTs hVNC-funktioner gör det möjligt för angripare att ta full kontroll över infekterade enheter, utföra kommandon, göra ändringar och komma åt resurser som om de vore den legitima användaren. Denna kontrollnivå gör att hotaktörerna kan utföra ett brett spektrum av skadliga aktiviteter, inklusive dataexfiltrering, installera ytterligare skadlig programvara och genomföra spionagekampanjer. Möjligheten att fjärrstyra ett offers enhet understryker det betydande hot som LOBSHOT utgör.
Fullständigt grafiskt användargränssnitt (GUI)
Skadlig programvara har också förmågan att komma åt det fullständiga grafiska användargränssnittet (GUI) för målenheten, vilket innebär att angriparen visuellt kan interagera med enhetens skrivbordsmiljö. Den här funktionen lägger till ytterligare ett lager av effektivitet och kontroll till skadlig programvara genom att göra det lättare för hotaktören att navigera och manipulera den komprometterade enheten. Tillgången till det fullständiga grafiska användargränssnittet gör det möjligt för angriparen att övervaka användaraktiviteter, komma åt känslig information och utföra åtgärder som tillskrivs den legitima användaren, vilket ytterligare betonar skadan med LOBSHOT.
Lindring och oro
LOBSHOT skadlig programvara utgör betydande oro för både enskilda användare och organisationer, på grund av dess dolda VNC-kapacitet och associering med ekonomiskt motiverade hotaktörer som TA505. Att lindra och hantera dessa problem innebär att man förstår de potentiella riskerna och implementerar lämpliga defensiva åtgärder, samt kräver striktare regler för plattformar som Google Ads.
Att stjäla bank- och finansiell information
En av de främsta problemen kring LOBSHOT är dess potential att stjäla bank- och finansiell information från infekterade enheter. Dess dolda VNC-åtkomst tillåter angripare att infiltrera enheter oupptäckta, övervaka användaraktiviteter och fånga känslig data som inloggningsuppgifter, kontonummer och transaktionsdetaljer. Sådan information kan utnyttjas för ekonomisk vinning eller användas i ytterligare attacker, såsom inloggningsuppfyllning eller nätfiskekampanjer.
Efterlyser striktare annonsreglering på Google
Som svar på det växande hotet från spridning av skadlig programvara via Google Ads har flera forskare och säkerhetsexperter uppmanat Alphabet, Googles holdingbolag, att införa strängare regler för godkännande av annonser. Att implementera mer robusta annonsscreeningsprocesser och verifieringsmekanismer kan hjälpa till att minimera spridningen av skadlig programvara som LOBSHOT och minska risken för att intet ont anande användare faller offer för sådana hot. Under tiden bör slutanvändare vidta försiktighetsåtgärder genom att verifiera legitimiteten för domänen de besöker och programvaran de laddar ner.