มัลแวร์ LOBSHOT ค้นพบผ่านการสืบสวนมัลแวร์
เมื่อเร็ว ๆ นี้ นักวิจัยของ Elastic Security Labs ได้ค้นพบมัลแวร์ตัวใหม่ที่ชื่อว่า LOBSHOT ในระหว่างการสืบสวนอย่างละเอียดเกี่ยวกับการเพิ่มขึ้นของแคมเปญมัลแวร์ LOBSHOT มีความสนใจเป็นพิเศษเนื่องจากให้สิทธิ์แก่ผู้คุกคามที่ซ่อนอยู่ VNC (Virtual Network Computing) เข้าถึงอุปกรณ์ที่ติดไวรัส นักวิจัยยังพบความเชื่อมโยงระหว่างมัลแวร์กับ TA505 ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงิน ซึ่งเป็นที่รู้จักจากการติดตั้ง แรนซัมแวร์ และ โทรจันธนาคาร
สารบัญ
เพิ่มสูงขึ้นในแคมเปญ Malvertising
แคมเปญมัลแวร์โฆษณามีจำนวนเพิ่มมากขึ้น และธรรมชาติที่ซ่อนเร้นทำให้ผู้ใช้แยกความแตกต่างระหว่างโฆษณาที่ถูกต้องและที่เป็นอันตรายได้ยาก นักวิจัยด้านความปลอดภัยสังเกตว่าการเพิ่มขึ้นนี้อาจมีสาเหตุมาจากผู้คุกคามที่ขายมัลแวร์โฆษณาในรูปแบบบริการ ซึ่งเน้นย้ำถึงความสำคัญของการระแวดระวังเมื่อโต้ตอบกับโฆษณาออนไลน์
ตลอดการวิจัยของพวกเขา Elastic Security Labs สังเกตเห็นการเพิ่มขึ้นอย่างรวดเร็วในแคมเปญโฆษณามัลแวร์โดยใช้ชุดช่องโหว่เพื่อกำหนดเป้าหมายช่องโหว่เฉพาะในแอปพลิเคชันที่ใช้กันอย่างแพร่หลาย แคมเปญเหล่านี้ได้รับการสังเกตมากขึ้นในเว็บไซต์ยอดนิยมหลายแห่ง ทำให้ผู้ใช้หลายล้านคนได้รับภัยคุกคามที่อาจเกิดขึ้น โดยปกติแล้ว ผู้เยี่ยมชมเว็บไซต์เหล่านี้จะพบกับมัลแวร์ที่เมื่อคลิกแล้ว ระบบจะเปลี่ยนเส้นทางไปยังหน้า Landing Page ของชุดการหาประโยชน์ ซึ่งในที่สุด LOBSHOT จะทำงานบนอุปกรณ์ของผู้ใช้
TA505 โครงสร้างพื้นฐาน
TA505 กลุ่มอาชญากรไซเบอร์ที่ต้องสงสัยว่าอยู่เบื้องหลังการพัฒนาและการปรับใช้ LOBSHOT เป็นที่รู้จักมานานแล้วสำหรับกิจกรรมที่เป็นอันตรายในวงกว้าง กลุ่มนี้เป็นที่รู้จักจากแคมเปญการโจมตีที่มีการจัดระเบียบอย่างดีและหลากหลาย โดยเน้นที่สถาบันการเงินเป็นเป้าหมายหลักโดยเฉพาะ แต่ยังขยายกิจกรรมที่เป็นอันตรายไปยังอุตสาหกรรมอื่นๆ
หลังจากวิเคราะห์ LOBSHOT แล้ว Elastic Security Labs พบการทับซ้อนที่ชัดเจนระหว่างโครงสร้างพื้นฐานของมัลแวร์และโครงสร้างพื้นฐาน TA505 ที่ระบุก่อนหน้านี้ ความคล้ายคลึงกันในวิธีการโจมตีและโครงสร้างพื้นฐานที่ทับซ้อนกันทำให้เกิดความเชื่อมั่นต่อสมมติฐานที่ว่า TA505 มีหน้าที่รับผิดชอบในการพัฒนาและใช้งาน LOBSHOT อย่างต่อเนื่อง
การเข้าถึง VNC ที่ซ่อนอยู่
หนึ่งในแง่มุมที่เกี่ยวข้องมากที่สุดของ LOBSHOT คือความสามารถในการอนุญาตให้ผู้คุกคามเข้าถึงอุปกรณ์ของเหยื่อที่ซ่อนอยู่ผ่าน VNC ฟีเจอร์เฉพาะนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ติดไวรัสได้จากระยะไกลโดยที่ไม่ผ่านการยินยอมของผู้ใช้ ทำให้พวกเขาสามารถตรวจสอบ จัดการ และกรองข้อมูลที่สำคัญโดยที่ผู้ใช้ไม่รู้ตัว การเข้าถึง VNC ที่ซ่อนอยู่ทำให้ LOBSHOT เป็นเครื่องมือที่ทรงพลังและอันตรายในคลังแสงของอาชญากรไซเบอร์ โดยเฉพาะผู้ที่มีแรงจูงใจทางการเงิน
วิธีการจัดจำหน่าย
วิธีการกระจายของมัลแวร์ LOBSHOT นั้นเกี่ยวข้องกับกลวิธีหลอกลวง ใช้ประโยชน์จาก Google Ads และเว็บไซต์ปลอมเพื่อล่อลวงเหยื่อที่ไม่สงสัย เทคนิคเหล่านี้ยังแสดงให้เห็นถึงความซับซ้อนและความสามารถในการปรับตัวของผู้คุกคามที่อยู่เบื้องหลังมัลแวร์นี้ ทำให้ผู้ใช้ต้องระมัดระวังมากขึ้นเมื่อเรียกดูและคลิกที่โฆษณา
เว็บไซต์ปลอมผ่าน Google Ads
หนึ่งในวิธีหลักในการเผยแพร่ LOBSHOT คือการใช้เว็บไซต์ปลอมที่โปรโมตผ่าน Google Ads ผู้คุกคามสร้างและดูแลเว็บไซต์ปลอมเหล่านี้ ซึ่งออกแบบมาเพื่อเลียนแบบเว็บไซต์และบริการที่ถูกต้องตามกฎหมาย ด้วยการใช้ประโยชน์จากแพลตฟอร์ม Google Ads ผู้ไม่หวังดีสามารถแสดงโฆษณาที่เป็นอันตรายแก่ผู้ใช้ที่ไม่สงสัยซึ่งอาจคลิกที่โฆษณาโดยรู้สึกว่าเป็นของจริง ซึ่งนำไปสู่การติดตั้งมัลแวร์ LOBSHOT บนอุปกรณ์ของตน
เปลี่ยนเส้นทางผู้ใช้ไปยังโดเมน AnyDesk ปลอม
นอกเหนือจากการใช้เว็บไซต์ปลอมแล้ว กระบวนการกระจายมัลแวร์ LOBSHOT ยังเกี่ยวข้องกับการเปลี่ยนเส้นทางผู้ใช้ไปยังโดเมน AnyDesk ปลอมอีกด้วย AnyDesk เป็นแอปพลิเคชันเดสก์ท็อประยะไกลยอดนิยมที่ธุรกิจและบุคคลจำนวนมากไว้วางใจในการเข้าถึงและการสนับสนุนระยะไกล ผู้คุกคามใช้ประโยชน์จากความไว้วางใจนี้ด้วยการสร้างโดเมน AnyDesk ที่สมมติขึ้นเพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์เวอร์ชันที่เป็นอันตราย ซึ่งแท้จริงแล้วคือมัลแวร์ LOBSHOT วิธีนี้ยังเน้นให้เห็นถึงกลวิธีอันแยบยลที่อาชญากรไซเบอร์เหล่านี้ใช้เพื่อดักจับเหยื่อและดำเนินกิจกรรมที่เป็นอันตราย
การติดตั้งผ่านระบบที่ถูกบุกรุก
ในบางกรณี มัลแวร์ LOBSHOT สามารถติดตั้งบนอุปกรณ์ของเหยื่อผ่านระบบที่ถูกบุกรุก กรณีนี้อาจเกิดขึ้นได้หากผู้ใช้เข้าชมหรือดาวน์โหลดเนื้อหาจากเว็บไซต์ที่ติดมัลแวร์โดยไม่ได้ตั้งใจ หรือหากพวกเขากลายเป็นเป้าหมายของแคมเปญสเปียร์ฟิชชิง เมื่อมัลแวร์แทรกซึมเข้าไปในอุปกรณ์ของเหยื่อได้สำเร็จ มันสามารถให้สิทธิ์การเข้าถึง VNC ที่ซ่อนอยู่แก่ผู้คุกคาม ซึ่งจากนั้นจะสามารถควบคุมและจัดการระบบจากระยะไกลได้ตามต้องการ
ความสามารถของ LOBSHOT
มัลแวร์ LOBSHOT มีความสามารถที่น่าเกรงขามมากมาย ซึ่งทำให้เชี่ยวชาญในการแทรกซึมและใช้ประโยชน์จากอุปกรณ์ของผู้ใช้ มัลแวร์มุ่งเน้นไปที่ Virtual Network Computing (hVNC) ที่ซ่อนอยู่เป็นหลัก ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกลและเข้าถึงอินเทอร์เฟซผู้ใช้ได้ ความสามารถหลักของ LOBSHOT ได้แก่:
คอมพิวเตอร์เครือข่ายเสมือนที่ซ่อนอยู่ (hVNC)
หัวใจของการทำงานของ LOBSHOT คือความสามารถในการให้การเข้าถึง VNC ที่ซ่อนอยู่ในอุปกรณ์ของเหยื่อ ผู้โจมตีจะได้รับวิธีการแอบแฝงในการควบคุมอุปกรณ์จากระยะไกลผ่าน hVNC โดยไม่ได้รับความยินยอมหรือความรู้จากเหยื่อ คุณลักษณะ hVNC ทำให้ LOBSHOT เป็นอันตรายเป็นพิเศษ เนื่องจากช่วยให้ผู้ไม่หวังดีสามารถรักษาสถานะการซ่อนตัวบนอุปกรณ์ที่ถูกบุกรุกได้ในขณะที่ดำเนินกิจกรรมที่ชั่วร้ายต่างๆ
การควบคุมระยะไกลของอุปกรณ์
ความสามารถ hVNC ของ LOBSHOT ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสได้อย่างเต็มที่ เรียกใช้คำสั่ง ทำการเปลี่ยนแปลง และเข้าถึงทรัพยากรได้ราวกับว่าพวกเขาเป็นผู้ใช้ที่ถูกต้องตามกฎหมาย การควบคุมในระดับนี้ช่วยให้ผู้คุกคามสามารถดำเนินกิจกรรมที่เป็นอันตรายได้หลากหลาย รวมถึงการกรองข้อมูล การติดตั้งมัลแวร์เพิ่มเติม และการดำเนินการจารกรรม ความสามารถในการควบคุมอุปกรณ์ของเหยื่อจากระยะไกลเป็นการเน้นย้ำถึงภัยคุกคามที่สำคัญที่เกิดจาก LOBSHOT
ส่วนต่อประสานกราฟิกกับผู้ใช้ (GUI) เต็มรูปแบบ
มัลแวร์ยังมีความสามารถในการเข้าถึงส่วนต่อประสานกราฟิกกับผู้ใช้ (GUI) เต็มรูปแบบของอุปกรณ์เป้าหมาย ซึ่งหมายความว่าผู้โจมตีสามารถโต้ตอบกับสภาพแวดล้อมเดสก์ท็อปของอุปกรณ์ได้ทางสายตา คุณลักษณะนี้เพิ่มประสิทธิภาพและการควบคุมอีกชั้นหนึ่งให้กับมัลแวร์โดยทำให้ผู้คุกคามนำทางและจัดการอุปกรณ์ที่ถูกบุกรุกได้ง่ายขึ้น การเข้าถึง GUI เต็มรูปแบบทำให้ผู้โจมตีสามารถตรวจสอบกิจกรรมของผู้ใช้ เข้าถึงข้อมูลที่ละเอียดอ่อน และดำเนินการตามผู้ใช้ที่ถูกต้องตามกฎหมาย ซึ่งเน้นย้ำถึงอันตรายของ LOBSHOT
การลดผลกระทบและข้อกังวล
มัลแวร์ LOBSHOT นำเสนอข้อกังวลที่สำคัญต่อทั้งผู้ใช้รายบุคคลและองค์กร เนื่องจากความสามารถแฝงของ VNC และการเชื่อมโยงกับผู้คุกคามที่มีแรงจูงใจทางการเงิน เช่น TA505 การบรรเทาและจัดการกับข้อกังวลเหล่านี้เกี่ยวข้องกับการทำความเข้าใจความเสี่ยงที่อาจเกิดขึ้นและใช้มาตรการป้องกันที่เหมาะสม รวมถึงการเรียกร้องให้มีกฎระเบียบที่เข้มงวดมากขึ้นบนแพลตฟอร์ม เช่น Google Ads
การขโมยข้อมูลทางการเงินและการธนาคาร
หนึ่งในข้อกังวลหลักเกี่ยวกับ LOBSHOT คือศักยภาพในการขโมยข้อมูลทางการเงินและการธนาคารจากอุปกรณ์ที่ติดไวรัส การเข้าถึง VNC ที่ซ่อนอยู่ช่วยให้ผู้โจมตีสามารถแทรกซึมเข้าไปในอุปกรณ์ที่ตรวจไม่พบ ตรวจสอบกิจกรรมของผู้ใช้ และดักจับข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ หมายเลขบัญชี และรายละเอียดการทำธุรกรรม ข้อมูลดังกล่าวสามารถใช้ประโยชน์เพื่อผลประโยชน์ทางเศรษฐกิจหรือใช้ในการโจมตีเพิ่มเติม เช่น การยัดข้อมูลประจำตัวหรือแคมเปญฟิชชิ่ง
เรียกร้องให้มีการควบคุมโฆษณาที่เข้มงวดขึ้นใน Google
เพื่อตอบสนองต่อภัยคุกคามที่เพิ่มขึ้นของการแพร่กระจายของมัลแวร์ผ่าน Google Ads นักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยหลายคนได้เรียกร้องให้ Alphabet ซึ่งเป็นบริษัทโฮลดิ้งของ Google กำหนดข้อบังคับที่เข้มงวดขึ้นในการอนุมัติโฆษณา การใช้กระบวนการคัดกรองโฆษณาและกลไกการยืนยันที่มีประสิทธิภาพมากขึ้นสามารถช่วยลดการแพร่กระจายของมัลแวร์ เช่น LOBSHOT และลดความเสี่ยงที่ผู้ใช้ที่ไม่สงสัยจะตกเป็นเหยื่อของภัยคุกคามดังกล่าว ในระหว่างนี้ ผู้ใช้ควรระมัดระวังโดยการตรวจสอบความถูกต้องของโดเมนที่พวกเขาเยี่ยมชมและซอฟต์แวร์ที่พวกเขากำลังดาวน์โหลด