LOBSHOT Malware
Ang isang bagong banta ng malware na tinatawag na LOBSHOT ay natagpuang ipinamamahagi sa pamamagitan ng Google Ads at may kakayahang makahawa sa mga Windows device gamit ang hVNC. Ang malware ay naobserbahan ng mga mananaliksik sa cybersecurity na pino-promote ng mga ad na lumalabas na para sa lehitimong AnyDesk remote management software. Gayunpaman, ang mga nakakahamak na ad sa halip ay humahantong sa mga gumagamit sa isang pekeng website. Ang pahinang ito, ang 'amydeecke.website,' ay nagtutulak ng isang malisyosong MSI file na, sa turn, ay nagpapatupad ng isang PowerShell na utos. Ang layunin ay mag-download ng DLL mula sa download-cdn[.]com, isang domain na dati nang nauugnay sa mga aktibidad ng cybercriminal ng TA505/Clop ransomware group.
Ang na-download na DLL file ay ang LOBSHOT malware at naka-save sa C:\ProgramData folder, kung saan ito ay pinaandar ng RunDLL32.exe. Ayon sa isang ulat, na nagpahayag ng mga detalye tungkol sa LOBSHOT, naobserbahan ng mga mananaliksik ang higit sa 500 natatanging mga sample ng LOBSHOT mula noong Hulyo 2022. Ang mga natukoy na sample ay karaniwang pinagsama bilang 32-bit DLL o 32-bit na mga executable na nasa pagitan ng 93 KB hanggang 124 KB. Kapag naisakatuparan sa mga nalabag na device, susuriin ng LOBSHOT kung tumatakbo ang Microsoft Defender at tatapusin ang pagpapatupad nito kung nakita.
Talaan ng mga Nilalaman
Sinasamantala ng mga Cybercriminal ang Google Ads para Ipamahagi ang Mga Banta sa Malware
Naobserbahan ng mga eksperto sa cybersecurity ang isang malaking pagsulong sa paggamit ng mga Google ad ng mga banta ng aktor na magpakalat ng malware sa pamamagitan ng mga resulta ng paghahanap. Kasama sa mga nakakahamak na kampanya sa advertising ang imitasyon ng iba't ibang mga website at mga lehitimong produkto ng software, tulad ng 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus at ilang iba pang mga application.
Sa kabila ng impresyon ng pagiging lehitimo na ibinigay ng mga ad, ang mga website kung saan nire-redirect nila ay talagang idinisenyo upang magpakalat ng malware, kabilang ang Gozi , RedLine , Vidar , Cobalt Strike , SectorRAT, at ang Royal Ransomware sa halip na magbigay ng mga tunay na application.
Tinatarget ng LOBSHOT Malware ang Mga Extension at Wallet ng Cryptocurrency
Kung ang LOBSHOT ay hindi makakita ng mga palatandaan ng presensya ng Microsoft Defender, magpapatuloy ito sa nagbabantang programming nito. Awtomatikong iko-configure ng banta ang mga entry sa Registry upang matiyak ang pagsisimula nito sa bawat boot ng Windows. Kokolektahin at sisimulan ng LOBSHOT ang pagpapadala ng impormasyon ng system, kasama ang lahat ng tumatakbong proseso, mula sa nahawaang device. Bukod pa rito, hinahanap ng malware ang pagkakaroon ng 32 Chrome cryptocurrency wallet extension, siyam na Edge wallet extension, at 11 Firefox wallet extension.
Sa pagtukoy ng mga extension na ito, ang malware ay nagpapatupad ng isang file sa C:\ProgramData folder. Gayunpaman, hindi sigurado ang mga mananaliksik kung ang layunin ng file ay kunin ang data ng extension o ilang iba pang nakakapinsalang aksyon.
Bagama't ang pagkolekta ng mga extension ng cryptocurrency ay isang karaniwang layunin para sa malware, ang LOBSHOT malware ay mayroon ding hVNC module na nakasama sa istraktura nito. Ang module na ito ay nagbibigay-daan sa mga banta ng aktor na ma-access ang isang nahawaang device nang malayuan nang maingat.
Ang LOBSHOT Malware ay Nagbibigay ng Malayong Pag-access sa Mga Nilabag na Device
Ang kakayahang malayuang kontrolin ang isang Windows desktop computer nang hindi nalalaman ng biktima ay ginawang posible ng hVNC (hidden virtual network computing) module.
Ang malware na kilala bilang LOBSHOT ay may kasamang hVNC module, na nagbibigay-daan sa mga threat actor na manipulahin ang nakatagong desktop na parang pisikal na naroroon sila sa harap nito, gamit ang kanilang keyboard at mouse.
Kapag na-activate na ang module, magsisimulang magpadala ang makina ng biktima ng mga screen capture ng nakatagong desktop sa isang nakikinig na kliyente na kinokontrol ng umaatake. Maaaring makipag-ugnayan ang umaatake sa kliyente sa pamamagitan ng pagmamanipula sa keyboard, pag-click sa mga button, at paggalaw ng mouse, na nagbibigay sa kanila ng kumpletong remote control ng device.
Sa ganap na pag-access na ipinagkaloob ng hVNC, ang mga aktor ng pagbabanta ay maaaring magsagawa ng iba't ibang aktibidad, tulad ng pagsasagawa ng mga utos, pagnanakaw ng data, at pag-deploy ng mga karagdagang malware payload.
