LOBSHOT మాల్వేర్
LOBSHOT అనే కొత్త మాల్వేర్ ముప్పు Google ప్రకటనల ద్వారా పంపిణీ చేయబడినట్లు కనుగొనబడింది మరియు ఇది hVNCని ఉపయోగించి Windows పరికరాలకు సోకగల సామర్థ్యాన్ని కలిగి ఉంది. చట్టబద్ధమైన AnyDesk రిమోట్ మేనేజ్మెంట్ సాఫ్ట్వేర్కు సంబంధించిన ప్రకటనల ద్వారా ప్రచారం చేయబడుతున్న సైబర్ సెక్యూరిటీ పరిశోధకులు ఈ మాల్వేర్ను గమనించారు. అయితే, హానికరమైన ప్రకటనలు బదులుగా వినియోగదారులను నకిలీ వెబ్సైట్కు దారితీస్తాయి. ఈ పేజీ, 'amydeecke.website,' హానికరమైన MSI ఫైల్ను నెట్టివేస్తుంది, అది పవర్షెల్ ఆదేశాన్ని అమలు చేస్తుంది. డౌన్లోడ్-cdn[.]com నుండి DLLని డౌన్లోడ్ చేయడమే లక్ష్యం, ఇది గతంలో TA505/Clop ransomware సమూహం యొక్క సైబర్క్రిమినల్ కార్యకలాపాలతో అనుబంధించబడిన డొమైన్.
డౌన్లోడ్ చేయబడిన DLL ఫైల్ LOBSHOT మాల్వేర్ మరియు C:\ProgramData ఫోల్డర్లో సేవ్ చేయబడుతుంది, ఇక్కడ ఇది RunDLL32.exe ద్వారా అమలు చేయబడుతుంది. LOBSHOT గురించిన వివరాలను వెల్లడించిన ఒక నివేదిక ప్రకారం, జూలై 2022 నుండి పరిశోధకులు 500కు పైగా ప్రత్యేకమైన LOBSHOT నమూనాలను పరిశీలించారు. గుర్తించబడిన నమూనాలు సాధారణంగా 32-బిట్ DLLలుగా లేదా 93 KB నుండి 124 KB మధ్య ఉండే 32-బిట్ ఎక్జిక్యూటబుల్లుగా సంకలనం చేయబడతాయి. ఉల్లంఘించిన పరికరాలలో అమలు చేయబడిన తర్వాత, మైక్రోసాఫ్ట్ డిఫెండర్ రన్ అవుతుందో లేదో LOBSHOT తనిఖీ చేస్తుంది మరియు గుర్తించినట్లయితే దాని అమలును రద్దు చేస్తుంది.
విషయ సూచిక
మాల్వేర్ బెదిరింపులను పంపిణీ చేయడానికి సైబర్ నేరస్థులు Google ప్రకటనలను ఉపయోగించుకుంటారు
శోధన ఫలితాల ద్వారా మాల్వేర్ను వ్యాప్తి చేయడానికి బెదిరింపు నటులు Google ప్రకటనల వినియోగంలో గణనీయమైన పెరుగుదలను సైబర్ సెక్యూరిటీ నిపుణులు గమనించారు. హానికరమైన ప్రకటనల ప్రచారాలలో 7-జిప్, VLC, OBS, నోట్ప్యాడ్++, CCleaner, TradingView, Rufus మరియు అనేక ఇతర అప్లికేషన్లు వంటి వివిధ వెబ్సైట్లు మరియు చట్టబద్ధమైన సాఫ్ట్వేర్ ఉత్పత్తులను అనుకరించడం జరిగింది.
ప్రకటనల ద్వారా చట్టబద్ధత యొక్క ముద్ర ఉన్నప్పటికీ, వారు దారి మళ్లించే వెబ్సైట్లు వాస్తవానికి నిజమైన అప్లికేషన్లను అందించడానికి బదులుగా Gozi , RedLine , Vidar , Cobalt Strike , SectorAT, and Royal Ransomware వంటి మాల్వేర్లను వ్యాప్తి చేయడానికి రూపొందించబడ్డాయి.
LOBSHOT మాల్వేర్ క్రిప్టోకరెన్సీ పొడిగింపులు మరియు వాలెట్లను లక్ష్యంగా చేసుకుంటుంది
LOBSHOT మైక్రోసాఫ్ట్ డిఫెండర్ ఉనికి సంకేతాలను కనుగొనకపోతే, అది దాని బెదిరింపు ప్రోగ్రామింగ్తో కొనసాగుతుంది. ముప్పు ప్రతి విండోస్ బూట్లో దాని ప్రారంభాన్ని నిర్ధారించడానికి రిజిస్ట్రీ ఎంట్రీలను స్వయంచాలకంగా కాన్ఫిగర్ చేస్తుంది. LOBSHOT సోకిన పరికరం నుండి అన్ని రన్నింగ్ ప్రాసెస్లతో సహా సిస్టమ్ సమాచారాన్ని సేకరించి, ప్రసారం చేయడాన్ని ప్రారంభిస్తుంది. అదనంగా, మాల్వేర్ 32 క్రోమ్ క్రిప్టోకరెన్సీ వాలెట్ ఎక్స్టెన్షన్లు, తొమ్మిది ఎడ్జ్ వాలెట్ ఎక్స్టెన్షన్లు మరియు 11 ఫైర్ఫాక్స్ వాలెట్ ఎక్స్టెన్షన్ల ఉనికి కోసం చూస్తుంది.
ఈ పొడిగింపులను గుర్తించిన తర్వాత, మాల్వేర్ C:\ProgramData ఫోల్డర్లో ఫైల్ను అమలు చేస్తుంది. అయితే, ఫైల్ యొక్క ఉద్దేశ్యం ఎక్స్టెన్షన్ డేటాను సంగ్రహించాలా లేదా ఏదైనా ఇతర హానికరమైన చర్యా అని పరిశోధకులు అనిశ్చితంగా ఉన్నారు.
మాల్వేర్ కోసం క్రిప్టోకరెన్సీ పొడిగింపులను సేకరించడం ఒక సాధారణ లక్ష్యం అయినప్పటికీ, LOBSHOT మాల్వేర్ దాని నిర్మాణంలో ఒక hVNC మాడ్యూల్ను కూడా కలిగి ఉంది. ఈ మాడ్యూల్ ముప్పు నటులు సోకిన పరికరాన్ని రిమోట్గా తెలివిగా యాక్సెస్ చేయడానికి అనుమతిస్తుంది.
LOBSHOT మాల్వేర్ విచ్ఛిన్నమైన పరికరాలకు రిమోట్ యాక్సెస్ను అందిస్తుంది
బాధితులకు తెలియకుండా విండోస్ డెస్క్టాప్ కంప్యూటర్ను రిమోట్గా నియంత్రించే సామర్థ్యం hVNC (హిడెన్ వర్చువల్ నెట్వర్క్ కంప్యూటింగ్) మాడ్యూల్ ద్వారా సాధ్యమవుతుంది.
LOBSHOT అని పిలువబడే మాల్వేర్ hVNC మాడ్యూల్ను కలిగి ఉంది, ఇది ముప్పు నటులు దాచిన డెస్క్టాప్ను భౌతికంగా దాని ముందు ఉన్నట్లుగా, వారి కీబోర్డ్ మరియు మౌస్ని ఉపయోగించి మార్చడానికి వీలు కల్పిస్తుంది.
మాడ్యూల్ యాక్టివేట్ అయిన తర్వాత, బాధితుడి మెషీన్ దాచిన డెస్క్టాప్ యొక్క స్క్రీన్ క్యాప్చర్లను దాడి చేసేవారిచే నియంత్రించబడే లిజనింగ్ క్లయింట్కు ప్రసారం చేయడం ప్రారంభిస్తుంది. దాడి చేసే వ్యక్తి కీబోర్డ్ను మార్చడం, బటన్లను క్లిక్ చేయడం మరియు మౌస్ని తరలించడం ద్వారా క్లయింట్తో పరస్పర చర్య చేయవచ్చు, వారికి పరికరం యొక్క పూర్తి రిమోట్ నియంత్రణను అందించవచ్చు.
hVNC మంజూరు చేసిన పూర్తి యాక్సెస్తో, బెదిరింపు నటులు ఆదేశాలను అమలు చేయడం, డేటాను దొంగిలించడం మరియు అదనపు మాల్వేర్ పేలోడ్లను అమలు చేయడం వంటి వివిధ కార్యకలాపాలను నిర్వహించవచ్చు.