LOBSHOT skadlig programvara
Ett nytt skadligt hot som heter LOBSHOT har visat sig distribueras via Google Ads och kan infektera Windows-enheter med hVNC. Skadlig programvara observerades av cybersäkerhetsforskare som marknadsfördes av annonser som verkar vara för den legitima fjärrhanteringsmjukvaran AnyDesk. Men de skadliga annonserna leder istället användare till en falsk webbplats. Den här sidan, 'amydeecke.website', skickar en skadlig MSI-fil som i sin tur kör ett PowerShell-kommando. Målet är att ladda ner en DLL från download-cdn[.]com, en domän som tidigare har associerats med cyberkriminella aktiviteter i gruppen TA505/Clop ransomware.
Den nedladdade DLL-filen är LOBSHOT skadlig programvara och sparas i mappen C:\ProgramData, där den exekveras av RunDLL32.exe. Enligt en rapport, som avslöjade detaljer om LOBSHOT, har forskarna observerat över 500 unika LOBSHOT-prover sedan juli 2022. De identifierade proverna är vanligtvis sammanställda som 32-bitars DLL:er eller 32-bitars körbara filer på mellan 93 KB och 124 KB. När LOBSHOT har körts på de överträckta enheterna kontrollerar den om Microsoft Defender körs och avslutar dess körning om det upptäcks.
Innehållsförteckning
Cyberkriminella utnyttjar Google Ads för att sprida hot om skadlig programvara
Cybersäkerhetsexperter har observerat en kraftig ökning av användningen av Google-annonser av hotaktörer för att sprida skadlig programvara genom sökresultat. De skadliga reklamkampanjerna involverade imitation av olika webbplatser och legitima mjukvaruprodukter, såsom 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus och flera andra applikationer.
Trots intrycket av legitimitet som annonserna ger, är webbplatserna de omdirigerar till faktiskt utformade för att sprida skadlig programvara, inklusive Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT och Royal Ransomware istället för att tillhandahålla äkta applikationer.
LOBSHOT Malware riktar sig till kryptovalutatillägg och plånböcker
Om LOBSHOT inte hittar tecken på Microsoft Defenders närvaro kommer den att fortsätta med sin hotfulla programmering. Hotet kommer automatiskt att konfigurera registerposter för att säkerställa att det startas vid varje start av Windows. LOBSHOT kommer sedan att samla in och börja överföra systeminformation, inklusive alla pågående processer, från den infekterade enheten. Dessutom letar den skadliga programvaran efter närvaron av 32 Chrome cryptocurrency plånbokstillägg, nio Edge plånbokstillägg och 11 Firefox plånbokstillägg.
När dessa tillägg upptäcks, kör skadlig programvara en fil i mappen C:\ProgramData. Forskarna är dock osäkra på om syftet med filen är att extrahera tilläggsdata eller någon annan skadlig åtgärd.
Även om insamling av cryptocurrency-tillägg är ett vanligt mål för skadlig programvara, har LOBSHOT malware också en hVNC-modul inbyggd i sin struktur. Den här modulen gör att hotaktörer kan komma åt en infekterad enhet på distans diskret.
LOBSHOT-skadlig programvara ger fjärråtkomst till enheterna som har brutits
Möjligheten att fjärrstyra en stationär Windows-dator utan offrets vetskap möjliggörs av modulen hVNC (hidden virtual network computing).
Skadlig programvara känd som LOBSHOT inkluderar en hVNC-modul, som gör det möjligt för hotaktörerna att manipulera det dolda skrivbordet som om de fysiskt var närvarande framför det, med hjälp av deras tangentbord och mus.
När modulen har aktiverats börjar offrets maskin sända skärmdumpar av det dolda skrivbordet till en lyssnande klient som kontrolleras av angriparen. Angriparen kan interagera med klienten genom att manipulera tangentbordet, klicka på knappar och flytta musen, vilket ger dem fullständig fjärrkontroll av enheten.
Med full åtkomst beviljad av hVNC kan hotaktörerna utföra olika aktiviteter, såsom att utföra kommandon, stjäla data och distribuera ytterligare skadlig programvara.
