Natuklasan ang LOBSHOT Malware sa pamamagitan ng Malvertising Investigation
Natuklasan kamakailan ng mga mananaliksik ng Elastic Security Labs ang isang bagong malware na tinatawag na LOBSHOT sa panahon ng kanilang masusing pagsisiyasat sa pagdami ng mga malvertising campaign. Partikular na interes ang LOBSHOT dahil binibigyan nito ang mga aktor ng pagbabanta ng nakatagong VNC (Virtual Network Computing) ng access sa mga nahawaang device. Nakakita rin ang mga mananaliksik ng mga koneksyon sa pagitan ng malware at TA505, isang cybercriminal group na may motibasyon sa pananalapi na kilala sa pag-deploy ng iba't ibang ransomware at banking trojan .
Talaan ng mga Nilalaman
Pagtaas sa Mga Kampanya sa Malvertising
Lumalaki ang bilang ng mga malvertising campaign, at ang pagiging palihim ng mga ito ay nagpapahirap para sa mga user na matukoy ang pagkakaiba sa pagitan ng mga lehitimong advertisement. Naobserbahan ng mga mananaliksik sa seguridad na ang pagtaas na ito ay maaaring maiugnay sa mga banta ng aktor na nagbebenta ng malvertising-bilang-isang-serbisyo, na higit na binibigyang-diin ang kahalagahan ng pagiging mapagbantay kapag nakikipag-ugnayan sa mga online na ad.
Sa kabuuan ng kanilang pananaliksik, naobserbahan ng Elastic Security Labs ang isang kilalang pagtaas sa mga kampanyang malvertising na gumagamit ng mga exploit kit upang i-target ang mga partikular na kahinaan sa mga malawakang ginagamit na application. Ang mga kampanyang ito ay lalong naobserbahan sa ilang sikat na website, na naglalantad sa milyun-milyong user sa mga potensyal na banta. Kadalasan, ang mga bisita ng mga website na ito ay nakakaranas ng mga malvertisement na, kapag na-click, ay nagre-redirect sa isang landing page ng exploit kit kung saan ang LOBSHOT sa kalaunan ay ipapatupad sa device ng user.
TA505 Imprastraktura
Ang TA505 , ang cybercriminal group na pinaghihinalaang nasa likod ng pagbuo at pag-deploy ng LOBSHOT, ay matagal nang kinikilala para sa malawak nitong mga malisyosong aktibidad. Ang grupong ito ay kilala sa maayos at magkakaibang hanay ng mga kampanya sa pag-atake, partikular na nakatuon sa mga institusyong pampinansyal bilang kanilang pangunahing mga target ngunit pinalawak din ang kanilang mga malisyosong aktibidad sa ibang mga industriya.
Kasunod ng pagsusuri sa LOBSHOT, nakita ng Elastic Security Labs ang malinaw na mga overlap sa pagitan ng imprastraktura ng malware at dating natukoy na imprastraktura ng TA505. Ang pagkakatulad sa mga pamamaraan ng pag-atake at magkakapatong na imprastraktura ay nagbibigay ng paniniwala sa hypothesis na ang TA505 ay responsable para sa pagbuo at aktibong paggamit ng LOBSHOT.
Nakatagong VNC Access
Ang isa sa mga pinaka-nakababahalang aspeto ng LOBSHOT ay ang kakayahan nitong magbigay ng nakatagong access sa mga banta ng aktor sa mga device ng mga biktima sa pamamagitan ng VNC. Ang partikular na feature na ito ay nagbibigay-daan sa mga attacker na makakuha ng malayuang access sa isang nahawaang device habang nilalampasan ang pahintulot ng user, na nagbibigay sa kanila ng kakayahang subaybayan, manipulahin, at i-exfiltrate ang sensitibong data nang hindi nalalaman ng user. Ang nakatagong pag-access sa VNC ay ginagawa ang LOBSHOT na isang malakas at mapanganib na tool sa arsenal ng mga cybercriminal, lalo na ang mga may motibasyon sa pananalapi.
Paraan ng Pamamahagi
Ang paraan ng pamamahagi ng LOBSHOT malware ay naobserbahang nagsasangkot ng mga mapanlinlang na taktika, paggamit ng Google Ads at mga pekeng website upang akitin ang mga hindi pinaghihinalaang biktima. Ang mga diskarteng ito ay higit na nagpapakita ng pagiging sopistikado at kakayahang umangkop ng mga banta sa likod ng malware na ito, na ginagawang mas kritikal para sa mga end user na maging maingat kapag nagba-browse at nagki-click sa mga advertisement.
Mga Pekeng Website sa pamamagitan ng Google Ads
Isa sa mga pangunahing paraan kung paano ipinamamahagi ang LOBSHOT ay sa pamamagitan ng paggamit ng mga pekeng website na pino-promote sa pamamagitan ng Google Ads. Ginagawa at pinapanatili ng mga banta ng aktor ang mga pekeng website na ito, na idinisenyo upang gayahin ang mga lehitimong website at serbisyo. Sa pamamagitan ng pagsasamantala sa platform ng Google Ads, maaaring ipakita ng mga kalaban ang kanilang mga nakakahamak na ad sa mga hindi pinaghihinalaang user na maaaring mag-click sa mga ad sa ilalim ng impresyon na sila ay tunay, na humahantong sa pag-install ng LOBSHOT malware sa kanilang mga device.
Nire-redirect ang mga User sa Pekeng AnyDesk Domain
Bukod sa paggamit ng mga pekeng website, ang proseso ng pamamahagi para sa LOBSHOT malware ay kinabibilangan din ng pag-redirect ng mga user sa isang pekeng AnyDesk na domain. Ang AnyDesk ay isang sikat na remote desktop application na umaasa sa maraming negosyo at indibidwal para sa malayuang pag-access at suporta. Sinamantala ng mga banta ng aktor ang tiwala na ito sa pamamagitan ng paglikha ng isang kathang-isip na AnyDesk domain upang linlangin ang mga user na mag-download ng malisyosong bersyon ng software, na talagang LOBSHOT malware. Ang pamamaraang ito ay higit na nagha-highlight sa mga tusong taktika na ginagamit ng mga cybercriminal na ito upang siloin ang mga biktima at isagawa ang kanilang mga malisyosong aktibidad.
Pag-install sa pamamagitan ng Compromised System
Sa ilang mga kaso, maaaring i-install ang LOBSHOT malware sa device ng biktima sa pamamagitan ng isang nakompromisong system. Ito ay maaaring mangyari kung ang user ay hindi namamalayan na bumisita o nagda-download ng nilalaman mula sa isang website na nahawahan ng malware o kung sila ay naging target ng isang spear-phishing na kampanya. Sa sandaling matagumpay na nakapasok ang malware sa device ng biktima, maaari itong magbigay ng nakatagong VNC na access sa aktor ng pagbabanta, na maaaring malayuang makontrol at mamanipula ang system ayon sa gusto.
Mga Kakayahan ng LOBSHOT
Ipinagmamalaki ng LOBSHOT malware ang isang hanay ng mga kakila-kilabot na kakayahan na ginagawa itong sanay sa paglusot at pagsasamantala sa mga device ng user. Pangunahing nakatuon ang malware sa nakatagong Virtual Network Computing (hVNC), na nagpapahintulot sa mga umaatake na malayuang kontrolin ang mga nahawaang device at i-access ang kanilang user interface. Ang mga pangunahing kakayahan ng LOBSHOT ay kinabibilangan ng:
Nakatagong Virtual Network Computing (hVNC)
Sa gitna ng functionality ng LOBSHOT ay ang kapasidad nitong magbigay ng nakatagong VNC access sa mga device ng biktima. Sa pamamagitan ng hVNC, ang mga umaatake ay binibigyan ng lihim na paraan ng malayuang pagkontrol sa isang device nang walang pahintulot o kaalaman ng biktima. Ang tampok na hVNC ay ginagawang partikular na mapanganib ang LOBSHOT, dahil pinapayagan nito ang mga masasamang aktor na mapanatili ang isang patagong presensya sa mga nakompromisong device habang nagsasagawa ng iba't ibang kasuklam-suklam na aktibidad.
Remote Control ng Device
Ang mga kakayahan ng hVNC ng LOBSHOT ay nagbibigay-daan sa mga umaatake na ganap na kontrolin ang mga nahawaang device, pagsasagawa ng mga utos, paggawa ng mga pagbabago, at pag-access ng mga mapagkukunan na parang sila ang lehitimong user. Ang antas ng kontrol na ito ay nagbibigay-daan sa mga aktor ng pagbabanta na magsagawa ng malawak na hanay ng mga nakakahamak na aktibidad, kabilang ang pag-exfiltration ng data, pag-install ng karagdagang malware, at pagsasagawa ng mga kampanyang espiya. Ang kakayahang malayuang kontrolin ang device ng biktima ay binibigyang-diin ang makabuluhang banta na dulot ng LOBSHOT.
Buong Graphic User Interface (GUI)
May kakayahan din ang malware na i-access ang buong graphic user interface (GUI) ng target na device, na nangangahulugang ang attacker ay maaaring biswal na makipag-ugnayan sa desktop environment ng device. Ang feature na ito ay nagdaragdag ng isa pang layer ng kahusayan at kontrol sa malware sa pamamagitan ng pagpapadali para sa threat actor na mag-navigate at manipulahin ang nakompromisong device. Ang pag-access sa buong GUI ay nagbibigay-daan sa umaatake na masubaybayan ang mga aktibidad ng user, ma-access ang sensitibong impormasyon, at magsagawa ng mga pagkilos na nauugnay sa lehitimong user, na higit na binibigyang-diin ang kapahamakan ng LOBSHOT.
Pagbabawas at Pag-aalala
Ang LOBSHOT malware ay nagpapakita ng mga makabuluhang alalahanin sa parehong mga indibidwal na user at organisasyon, dahil sa mga nakatagong kakayahan nito sa VNC at pagkakaugnay sa financially motivated threat actor gaya ng TA505. Ang pagpapagaan at pagtugon sa mga alalahaning ito ay kinabibilangan ng pag-unawa sa mga potensyal na panganib at pagpapatupad ng naaangkop na mga hakbang sa pagtatanggol, pati na rin ang pagtawag para sa mas mahigpit na regulasyon sa mga platform gaya ng Google Ads.
Pagnanakaw ng Impormasyon sa Pagbabangko at Pananalapi
Ang isa sa mga pangunahing alalahanin sa LOBSHOT ay ang potensyal nitong magnakaw ng impormasyon sa pagbabangko at pananalapi mula sa mga nahawaang device. Ang nakatagong VNC access nito ay nagbibigay-daan sa mga attacker na makalusot sa mga device na hindi natukoy, subaybayan ang mga aktibidad ng user, at kumuha ng sensitibong data gaya ng mga kredensyal sa pag-log in, account number, at mga detalye ng transaksyon. Maaaring samantalahin ang naturang impormasyon para sa pang-ekonomiyang pakinabang o gamitin sa karagdagang mga pag-atake, tulad ng pagpupuno ng kredensyal o mga kampanya sa phishing.
Mga Panawagan para sa Mas Mahigpit na Regulasyon ng Ad sa Google
Bilang tugon sa lumalaking banta ng pamamahagi ng malware sa pamamagitan ng Google Ads, ilang mananaliksik at propesyonal sa seguridad ang nanawagan para sa Alphabet, ang kumpanyang may hawak ng Google, na magpataw ng mas mahigpit na regulasyon sa pag-apruba ng mga advertisement. Ang pagpapatupad ng mas mahusay na mga proseso ng pag-screen ng ad at mga mekanismo ng pag-verify ay maaaring makatulong na mabawasan ang pagkalat ng malware tulad ng LOBSHOT at mabawasan ang panganib ng mga hindi pinaghihinalaang user na mabiktima ng mga naturang pagbabanta. Pansamantala, ang mga end user ay dapat mag-ingat sa pamamagitan ng pag-verify sa pagiging lehitimo ng domain na kanilang binibisita at ang software na kanilang dina-download.