லாப்ஷாட் மால்வேர்
LOBSHOT எனப்படும் புதிய தீம்பொருள் அச்சுறுத்தல் Google விளம்பரங்கள் மூலம் விநியோகிக்கப்படுவது கண்டறியப்பட்டுள்ளது மற்றும் hVNC ஐப் பயன்படுத்தி Windows சாதனங்களைப் பாதிக்கும் திறன் கொண்டது. முறையான AnyDesk ரிமோட் மேனேஜ்மென்ட் மென்பொருளுக்கான விளம்பரங்கள் மூலம் விளம்பரப்படுத்தப்படும் சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்களால் தீம்பொருள் கவனிக்கப்பட்டது. இருப்பினும், தீங்கிழைக்கும் விளம்பரங்கள் பயனர்களை போலி இணையதளத்திற்கு இட்டுச் செல்கின்றன. இந்தப் பக்கம், 'amydeecke.website,' ஒரு தீங்கிழைக்கும் MSI கோப்பைத் தள்ளுகிறது, அதையொட்டி, PowerShell கட்டளையை இயக்குகிறது. TA505/Clop ransomware குழுவின் சைபர் கிரைமினல் செயல்பாடுகளுடன் தொடர்புடைய ஒரு டொமைன், download-cdn[.]com இலிருந்து DLL ஐப் பதிவிறக்குவதே குறிக்கோள்.
பதிவிறக்கம் செய்யப்பட்ட DLL கோப்பு LOBSHOT தீம்பொருள் மற்றும் C:\ProgramData கோப்புறையில் சேமிக்கப்படுகிறது, அங்கு அது RunDLL32.exe ஆல் செயல்படுத்தப்படுகிறது. LOBSHOT பற்றிய விவரங்களை வெளிப்படுத்திய ஒரு அறிக்கையின்படி, ஜூலை 2022 முதல் ஆராய்ச்சியாளர்கள் 500 தனித்துவமான LOBSHOT மாதிரிகளை அவதானித்துள்ளனர். அடையாளம் காணப்பட்ட மாதிரிகள் பொதுவாக 32-பிட் DLLகள் அல்லது 93 KB முதல் 124 KB வரையிலான 32-பிட் எக்ஸிகியூட்டபிள்களாக தொகுக்கப்படுகின்றன. மீறப்பட்ட சாதனங்களில் செயல்படுத்தப்பட்டதும், மைக்ரோசாஃப்ட் டிஃபென்டர் இயங்குகிறதா என்பதை LOBSHOT சரிபார்த்து, கண்டறியப்பட்டால் அதன் செயல்பாட்டை நிறுத்துகிறது.
பொருளடக்கம்
மால்வேர் அச்சுறுத்தல்களை விநியோகிக்க சைபர் குற்றவாளிகள் கூகுள் விளம்பரங்களைப் பயன்படுத்துகின்றனர்
சைபர் செக்யூரிட்டி நிபுணர்கள், தேடல் முடிவுகள் மூலம் தீம்பொருளைப் பரப்ப அச்சுறுத்தும் நடிகர்களால் கூகுள் விளம்பரங்களைப் பயன்படுத்துவதில் கணிசமான எழுச்சியைக் கண்டறிந்துள்ளனர். தீங்கிழைக்கும் விளம்பரப் பிரச்சாரங்களில் பல்வேறு இணையதளங்கள் மற்றும் 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus மற்றும் பல பயன்பாடுகள் போன்ற சட்டப்பூர்வ மென்பொருள் தயாரிப்புகளைப் பின்பற்றுவது அடங்கும்.
விளம்பரங்கள் மூலம் சட்டப்பூர்வமான தோற்றத்தை ஏற்படுத்தினாலும், அவர்கள் திருப்பியனுப்பப்படும் இணையதளங்கள், உண்மையான பயன்பாடுகளை வழங்குவதற்குப் பதிலாக Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT மற்றும் Royal Ransomware உள்ளிட்ட தீம்பொருளைப் பரப்புவதற்காக வடிவமைக்கப்பட்டுள்ளன.
லாப்ஷாட் மால்வேர் கிரிப்டோகரன்சி நீட்டிப்புகள் மற்றும் பணப்பைகளை குறிவைக்கிறது
மைக்ரோசாஃப்ட் டிஃபென்டரின் இருப்புக்கான அறிகுறிகளை LOBSHOT கண்டறியவில்லை என்றால், அது அதன் அச்சுறுத்தும் நிரலாக்கத்துடன் தொடரும். ஒவ்வொரு விண்டோஸ் துவக்கத்திலும் அதன் தொடக்கத்தை உறுதிப்படுத்த, அச்சுறுத்தல் தானாகவே பதிவேட்டில் உள்ளீடுகளை உள்ளமைக்கும். LOBSHOT பின்னர், பாதிக்கப்பட்ட சாதனத்திலிருந்து அனைத்து இயங்கும் செயல்முறைகள் உட்பட கணினித் தகவலைச் சேகரித்து அனுப்பத் தொடங்கும். கூடுதலாக, தீம்பொருள் 32 குரோம் கிரிப்டோகரன்சி வாலட் நீட்டிப்புகள், ஒன்பது எட்ஜ் வாலட் நீட்டிப்புகள் மற்றும் 11 பயர்பாக்ஸ் வாலட் நீட்டிப்புகள் இருப்பதைத் தேடுகிறது.
இந்த நீட்டிப்புகளைக் கண்டறிந்ததும், மால்வேர் C:\ProgramData கோப்புறையில் ஒரு கோப்பைச் செயல்படுத்துகிறது. இருப்பினும், கோப்பின் நோக்கம் நீட்டிப்புத் தரவைப் பிரித்தெடுப்பதா அல்லது வேறு ஏதேனும் தீங்கு விளைவிக்கும் செயலா என்பது ஆராய்ச்சியாளர்களுக்குத் தெரியவில்லை.
கிரிப்டோகரன்சி நீட்டிப்புகளைச் சேகரிப்பது தீம்பொருளுக்கான பொதுவான இலக்காக இருந்தாலும், LOBSHOT மால்வேர் hVNC மாட்யூலையும் அதன் கட்டமைப்பில் இணைத்துள்ளது. இந்த தொகுதி அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்ட சாதனத்தை தொலைதூரத்தில் புத்திசாலித்தனமாக அணுக உதவுகிறது.
LOBSHOT மால்வேர் மீறப்பட்ட சாதனங்களுக்கு தொலைநிலை அணுகலை வழங்குகிறது
பாதிக்கப்பட்டவருக்குத் தெரியாமல் விண்டோஸ் டெஸ்க்டாப் கம்ப்யூட்டரை ரிமோட் மூலம் கட்டுப்படுத்தும் திறன் hVNC (மறைக்கப்பட்ட மெய்நிகர் நெட்வொர்க் கம்ப்யூட்டிங்) தொகுதி மூலம் சாத்தியமாகும்.
LOBSHOT எனப்படும் தீம்பொருளானது hVNC மாட்யூலை உள்ளடக்கியது, இது மறைந்திருக்கும் டெஸ்க்டாப்பை அவர்களின் விசைப்பலகை மற்றும் மவுஸைப் பயன்படுத்தி, மறைந்திருக்கும் டெஸ்க்டாப்பைக் கையாள உதவுகிறது.
தொகுதி செயல்படுத்தப்பட்டதும், பாதிக்கப்பட்டவரின் இயந்திரம் மறைந்திருக்கும் டெஸ்க்டாப்பின் திரைப் பிடிப்புகளை தாக்குபவர் கட்டுப்படுத்தும் கேட்கும் கிளையண்டிற்கு அனுப்பத் தொடங்குகிறது. விசைப்பலகையைக் கையாளுதல், பொத்தான்களைக் கிளிக் செய்தல் மற்றும் சுட்டியை நகர்த்துவதன் மூலம், சாதனத்தின் முழுமையான ரிமோட் கண்ட்ரோலைக் கொடுப்பதன் மூலம் தாக்குபவர் கிளையண்டுடன் தொடர்பு கொள்ளலாம்.
hVNC ஆல் வழங்கப்பட்ட முழு அணுகலுடன், அச்சுறுத்தல் நடிகர்கள் கட்டளைகளைச் செயல்படுத்துதல், தரவைத் திருடுதல் மற்றும் கூடுதல் தீம்பொருள் பேலோடுகளைப் பயன்படுத்துதல் போன்ற பல்வேறு செயல்பாடுகளைச் செய்யலாம்.
