LOBSHOT మాల్వేర్

LOBSHOT అనే కొత్త మాల్వేర్ ముప్పు Google ప్రకటనల ద్వారా పంపిణీ చేయబడినట్లు కనుగొనబడింది మరియు ఇది hVNCని ఉపయోగించి Windows పరికరాలకు సోకగల సామర్థ్యాన్ని కలిగి ఉంది. చట్టబద్ధమైన AnyDesk రిమోట్ మేనేజ్‌మెంట్ సాఫ్ట్‌వేర్‌కు సంబంధించిన ప్రకటనల ద్వారా ప్రచారం చేయబడుతున్న సైబర్‌ సెక్యూరిటీ పరిశోధకులు ఈ మాల్‌వేర్‌ను గమనించారు. అయితే, హానికరమైన ప్రకటనలు బదులుగా వినియోగదారులను నకిలీ వెబ్‌సైట్‌కు దారితీస్తాయి. ఈ పేజీ, 'amydeecke.website,' హానికరమైన MSI ఫైల్‌ను నెట్టివేస్తుంది, అది పవర్‌షెల్ ఆదేశాన్ని అమలు చేస్తుంది. డౌన్‌లోడ్-cdn[.]com నుండి DLLని డౌన్‌లోడ్ చేయడమే లక్ష్యం, ఇది గతంలో TA505/Clop ransomware సమూహం యొక్క సైబర్‌క్రిమినల్ కార్యకలాపాలతో అనుబంధించబడిన డొమైన్.

డౌన్‌లోడ్ చేయబడిన DLL ఫైల్ LOBSHOT మాల్వేర్ మరియు C:\ProgramData ఫోల్డర్‌లో సేవ్ చేయబడుతుంది, ఇక్కడ ఇది RunDLL32.exe ద్వారా అమలు చేయబడుతుంది. LOBSHOT గురించిన వివరాలను వెల్లడించిన ఒక నివేదిక ప్రకారం, జూలై 2022 నుండి పరిశోధకులు 500కు పైగా ప్రత్యేకమైన LOBSHOT నమూనాలను పరిశీలించారు. గుర్తించబడిన నమూనాలు సాధారణంగా 32-బిట్ DLLలుగా లేదా 93 KB నుండి 124 KB మధ్య ఉండే 32-బిట్ ఎక్జిక్యూటబుల్‌లుగా సంకలనం చేయబడతాయి. ఉల్లంఘించిన పరికరాలలో అమలు చేయబడిన తర్వాత, మైక్రోసాఫ్ట్ డిఫెండర్ రన్ అవుతుందో లేదో LOBSHOT తనిఖీ చేస్తుంది మరియు గుర్తించినట్లయితే దాని అమలును రద్దు చేస్తుంది.

మాల్వేర్ బెదిరింపులను పంపిణీ చేయడానికి సైబర్ నేరస్థులు Google ప్రకటనలను ఉపయోగించుకుంటారు

శోధన ఫలితాల ద్వారా మాల్‌వేర్‌ను వ్యాప్తి చేయడానికి బెదిరింపు నటులు Google ప్రకటనల వినియోగంలో గణనీయమైన పెరుగుదలను సైబర్‌ సెక్యూరిటీ నిపుణులు గమనించారు. హానికరమైన ప్రకటనల ప్రచారాలలో 7-జిప్, VLC, OBS, నోట్‌ప్యాడ్++, CCleaner, TradingView, Rufus మరియు అనేక ఇతర అప్లికేషన్‌లు వంటి వివిధ వెబ్‌సైట్‌లు మరియు చట్టబద్ధమైన సాఫ్ట్‌వేర్ ఉత్పత్తులను అనుకరించడం జరిగింది.

ప్రకటనల ద్వారా చట్టబద్ధత యొక్క ముద్ర ఉన్నప్పటికీ, వారు దారి మళ్లించే వెబ్‌సైట్‌లు వాస్తవానికి నిజమైన అప్లికేషన్‌లను అందించడానికి బదులుగా Gozi , RedLine , Vidar , Cobalt Strike , SectorAT, and Royal Ransomware వంటి మాల్వేర్‌లను వ్యాప్తి చేయడానికి రూపొందించబడ్డాయి.

LOBSHOT మాల్వేర్ క్రిప్టోకరెన్సీ పొడిగింపులు మరియు వాలెట్‌లను లక్ష్యంగా చేసుకుంటుంది

LOBSHOT మైక్రోసాఫ్ట్ డిఫెండర్ ఉనికి సంకేతాలను కనుగొనకపోతే, అది దాని బెదిరింపు ప్రోగ్రామింగ్‌తో కొనసాగుతుంది. ముప్పు ప్రతి విండోస్ బూట్‌లో దాని ప్రారంభాన్ని నిర్ధారించడానికి రిజిస్ట్రీ ఎంట్రీలను స్వయంచాలకంగా కాన్ఫిగర్ చేస్తుంది. LOBSHOT సోకిన పరికరం నుండి అన్ని రన్నింగ్ ప్రాసెస్‌లతో సహా సిస్టమ్ సమాచారాన్ని సేకరించి, ప్రసారం చేయడాన్ని ప్రారంభిస్తుంది. అదనంగా, మాల్వేర్ 32 క్రోమ్ క్రిప్టోకరెన్సీ వాలెట్ ఎక్స్‌టెన్షన్‌లు, తొమ్మిది ఎడ్జ్ వాలెట్ ఎక్స్‌టెన్షన్‌లు మరియు 11 ఫైర్‌ఫాక్స్ వాలెట్ ఎక్స్‌టెన్షన్‌ల ఉనికి కోసం చూస్తుంది.

ఈ పొడిగింపులను గుర్తించిన తర్వాత, మాల్వేర్ C:\ProgramData ఫోల్డర్‌లో ఫైల్‌ను అమలు చేస్తుంది. అయితే, ఫైల్ యొక్క ఉద్దేశ్యం ఎక్స్‌టెన్షన్ డేటాను సంగ్రహించాలా లేదా ఏదైనా ఇతర హానికరమైన చర్యా అని పరిశోధకులు అనిశ్చితంగా ఉన్నారు.

మాల్వేర్ కోసం క్రిప్టోకరెన్సీ పొడిగింపులను సేకరించడం ఒక సాధారణ లక్ష్యం అయినప్పటికీ, LOBSHOT మాల్వేర్ దాని నిర్మాణంలో ఒక hVNC మాడ్యూల్‌ను కూడా కలిగి ఉంది. ఈ మాడ్యూల్ ముప్పు నటులు సోకిన పరికరాన్ని రిమోట్‌గా తెలివిగా యాక్సెస్ చేయడానికి అనుమతిస్తుంది.

LOBSHOT మాల్వేర్ విచ్ఛిన్నమైన పరికరాలకు రిమోట్ యాక్సెస్‌ను అందిస్తుంది

బాధితులకు తెలియకుండా విండోస్ డెస్క్‌టాప్ కంప్యూటర్‌ను రిమోట్‌గా నియంత్రించే సామర్థ్యం hVNC (హిడెన్ వర్చువల్ నెట్‌వర్క్ కంప్యూటింగ్) మాడ్యూల్ ద్వారా సాధ్యమవుతుంది.

LOBSHOT అని పిలువబడే మాల్వేర్ hVNC మాడ్యూల్‌ను కలిగి ఉంది, ఇది ముప్పు నటులు దాచిన డెస్క్‌టాప్‌ను భౌతికంగా దాని ముందు ఉన్నట్లుగా, వారి కీబోర్డ్ మరియు మౌస్‌ని ఉపయోగించి మార్చడానికి వీలు కల్పిస్తుంది.

మాడ్యూల్ యాక్టివేట్ అయిన తర్వాత, బాధితుడి మెషీన్ దాచిన డెస్క్‌టాప్ యొక్క స్క్రీన్ క్యాప్చర్‌లను దాడి చేసేవారిచే నియంత్రించబడే లిజనింగ్ క్లయింట్‌కు ప్రసారం చేయడం ప్రారంభిస్తుంది. దాడి చేసే వ్యక్తి కీబోర్డ్‌ను మార్చడం, బటన్‌లను క్లిక్ చేయడం మరియు మౌస్‌ని తరలించడం ద్వారా క్లయింట్‌తో పరస్పర చర్య చేయవచ్చు, వారికి పరికరం యొక్క పూర్తి రిమోట్ నియంత్రణను అందించవచ్చు.

hVNC మంజూరు చేసిన పూర్తి యాక్సెస్‌తో, బెదిరింపు నటులు ఆదేశాలను అమలు చేయడం, డేటాను దొంగిలించడం మరియు అదనపు మాల్వేర్ పేలోడ్‌లను అమలు చేయడం వంటి వివిధ కార్యకలాపాలను నిర్వహించవచ్చు.