LOBSHOT มัลแวร์
พบภัยคุกคามมัลแวร์ใหม่ที่ชื่อว่า LOBSHOT เผยแพร่ผ่าน Google Ads และสามารถแพร่เชื้อไปยังอุปกรณ์ Windows โดยใช้ hVNC มัลแวร์ดังกล่าวถูกตรวจพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ซึ่งได้รับการส่งเสริมโดยโฆษณาที่ดูเหมือนจะเป็นซอฟต์แวร์จัดการระยะไกล AnyDesk ที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม โฆษณาที่เป็นอันตรายกลับนำผู้ใช้ไปยังเว็บไซต์ปลอม หน้านี้ 'amydeecke.website' ดันไฟล์ MSI ที่เป็นอันตรายซึ่งดำเนินการตามคำสั่ง PowerShell เป้าหมายคือดาวน์โหลด DLL จาก download-cdn[.]com ซึ่งเป็นโดเมนที่เคยเกี่ยวข้องกับกิจกรรมอาชญากรไซเบอร์ของกลุ่มแรนซัมแวร์ TA505/Clop
ไฟล์ DLL ที่ดาวน์โหลดคือมัลแวร์ LOBSHOT และบันทึกอยู่ในโฟลเดอร์ C:\ProgramData ซึ่งรันโดย RunDLL32.exe ตามรายงานที่เปิดเผยรายละเอียดเกี่ยวกับ LOBSHOT นักวิจัยได้สังเกตตัวอย่าง LOBSHOT ที่ไม่ซ้ำกันมากกว่า 500 ตัวอย่างตั้งแต่เดือนกรกฎาคม 2565 ตัวอย่างที่ระบุจะถูกคอมไพล์เป็น DLL 32 บิตหรือไฟล์เรียกทำงาน 32 บิตที่มีขนาดระหว่าง 93 KB ถึง 124 KB เมื่อดำเนินการบนอุปกรณ์ที่ถูกละเมิด LOBSHOT จะตรวจสอบว่า Microsoft Defender กำลังทำงานอยู่หรือไม่ และยุติการดำเนินการหากตรวจพบ
สารบัญ
อาชญากรไซเบอร์ใช้ประโยชน์จากโฆษณา Google เพื่อกระจายภัยคุกคามจากมัลแวร์
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้สังเกตเห็นการใช้โฆษณา Google เพิ่มขึ้นอย่างมากโดยผู้คุกคามเพื่อแพร่กระจายมัลแวร์ผ่านผลการค้นหา แคมเปญโฆษณาที่เป็นอันตรายเกี่ยวข้องกับการเลียนแบบเว็บไซต์ต่างๆ และผลิตภัณฑ์ซอฟต์แวร์ที่ถูกกฎหมาย เช่น 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus และแอปพลิเคชันอื่นๆ อีกมากมาย
แม้จะมีความประทับใจในความชอบธรรมที่ได้รับจากโฆษณา แต่เว็บไซต์ที่พวกเขาเปลี่ยนเส้นทางไปนั้นได้รับการออกแบบมาเพื่อเผยแพร่มัลแวร์จริงๆ รวมถึง Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT และ Royal Ransomware แทนที่จะให้บริการแอปพลิเคชันของแท้
มัลแวร์ LOBSHOT กำหนดเป้าหมายส่วนขยาย Cryptocurrency และกระเป๋าเงิน
หาก LOBSHOT ไม่พบสัญญาณของการมีอยู่ของ Microsoft Defender ก็จะดำเนินโปรแกรมคุกคามต่อไป ภัยคุกคามจะกำหนดค่ารายการ Registry โดยอัตโนมัติเพื่อให้แน่ใจว่าการเริ่มต้นทำงานทุกครั้งที่บูต Windows จากนั้น LOBSHOT จะรวบรวมและเริ่มส่งข้อมูลระบบ รวมถึงกระบวนการที่กำลังทำงานอยู่ทั้งหมด จากอุปกรณ์ที่ติดไวรัส นอกจากนี้ มัลแวร์ยังค้นหาส่วนขยายกระเป๋าเงินคริปโตเคอเรนซี Chrome 32 รายการ ส่วนขยายกระเป๋าเงิน Edge 9 รายการ และส่วนขยายกระเป๋าเงิน Firefox 11 รายการ
เมื่อตรวจพบส่วนขยายเหล่านี้ มัลแวร์จะดำเนินการไฟล์ในโฟลเดอร์ C:\ProgramData อย่างไรก็ตาม นักวิจัยไม่แน่ใจว่าจุดประสงค์ของไฟล์คือการดึงข้อมูลส่วนขยายหรือการกระทำที่เป็นอันตรายอื่นๆ
แม้ว่าการรวบรวมส่วนขยายของสกุลเงินดิจิตอลจะเป็นเป้าหมายร่วมกันของมัลแวร์ แต่มัลแวร์ LOBSHOT ยังมีโมดูล hVNC ที่รวมอยู่ในโครงสร้างของมันด้วย โมดูลนี้ช่วยให้ผู้คุกคามสามารถเข้าถึงอุปกรณ์ที่ติดไวรัสจากระยะไกลได้อย่างรอบคอบ
มัลแวร์ LOBSHOT ให้การเข้าถึงระยะไกลไปยังอุปกรณ์ที่ถูกละเมิด
ความสามารถในการควบคุมคอมพิวเตอร์เดสก์ท็อป Windows จากระยะไกลโดยที่เหยื่อไม่ทราบนั้นเกิดขึ้นได้ด้วยโมดูล hVNC (คอมพิวเตอร์เครือข่ายเสมือนที่ซ่อนอยู่)
มัลแวร์ที่รู้จักกันในชื่อ LOBSHOT มีโมดูล hVNC ซึ่งช่วยให้ผู้คุกคามสามารถจัดการกับเดสก์ท็อปที่ซ่อนอยู่ได้ราวกับว่าพวกเขาปรากฏตัวต่อหน้า โดยใช้แป้นพิมพ์และเมาส์
เมื่อเปิดใช้งานโมดูลแล้ว เครื่องของเหยื่อจะเริ่มส่งภาพหน้าจอของเดสก์ท็อปที่ซ่อนอยู่ไปยังไคลเอ็นต์ที่กำลังฟังซึ่งควบคุมโดยผู้โจมตี ผู้โจมตีสามารถโต้ตอบกับไคลเอ็นต์โดยควบคุมแป้นพิมพ์ คลิกปุ่ม และเลื่อนเมาส์ ทำให้พวกเขาควบคุมอุปกรณ์จากระยะไกลได้อย่างสมบูรณ์
ด้วยการเข้าถึงอย่างเต็มรูปแบบจาก hVNC ผู้คุกคามสามารถดำเนินกิจกรรมต่าง ๆ เช่น ดำเนินการตามคำสั่ง ขโมยข้อมูล และปรับใช้ payloads ของมัลแวร์เพิ่มเติม
