LOBSHOT Kötü Amaçlı Yazılım, Kötü Amaçlı Reklam Araştırması Yoluyla Keşfedildi
Elastic Security Labs araştırmacıları, kötü amaçlı reklam kampanyalarındaki artışa ilişkin kapsamlı araştırmaları sırasında yakın zamanda LOBSHOT adlı yeni bir kötü amaçlı yazılım keşfettiler. LOBSHOT, tehdit aktörlerine virüslü cihazlara gizli VNC (Sanal Ağ Hesaplama) erişimi sağladığı için özellikle ilgi çekicidir. Araştırmacılar ayrıca kötü amaçlı yazılım ile çeşitli fidye yazılımları ve bankacılık truva atlarını dağıtmasıyla tanınan, finansal olarak motive olmuş bir siber suç grubu olan TA505 arasında bağlantılar buldular.
İçindekiler
Kötü Amaçlı Reklam Kampanyalarında Artış
Kötü amaçlı reklam kampanyalarının sayısı artıyor ve gizli yapıları, kullanıcıların meşru ve kötü amaçlı reklamlar arasında ayrım yapmasını zorlaştırıyor. Güvenlik araştırmacıları, bu artışın hizmet olarak kötü amaçlı reklamcılık satan tehdit aktörlerine atfedilebileceğini gözlemledi ve bu da çevrimiçi reklamlarla etkileşim kurarken dikkatli olmanın önemini daha da vurguladı.
Elastic Security Labs, araştırmaları boyunca, yaygın olarak kullanılan uygulamalardaki belirli güvenlik açıklarını hedeflemek için yararlanma kitlerini kullanan kötü amaçlı reklam kampanyalarında belirgin bir artış gözlemledi. Bu kampanyalar, birkaç popüler web sitesinde giderek daha fazla gözlemleniyor ve milyonlarca kullanıcıyı potansiyel tehditlere maruz bırakıyor. Tipik olarak, bu web sitelerinin ziyaretçileri, tıklandığında, LOBSHOT'un sonunda kullanıcının cihazında yürütüldüğü bir istismar kiti açılış sayfasına yönlendiren kötü amaçlı reklamlarla karşılaşır.
TA505 Altyapısı
LOBSHOT'un geliştirilmesi ve konuşlandırılmasının arkasında olduğundan şüphelenilen siber suç grubu TA505 , geniş kapsamlı kötü niyetli faaliyetleriyle uzun süredir tanınmaktadır. Bu grup, özellikle birincil hedefleri olarak finansal kurumlara odaklanan ama aynı zamanda kötü niyetli faaliyetlerini diğer sektörlere de yayan, iyi organize edilmiş ve çeşitli saldırı kampanyalarıyla tanınmaktadır.
Elastic Security Labs, LOBSHOT analizinin ardından, kötü amaçlı yazılımın altyapısı ile daha önce tanımlanan TA505 altyapısı arasında açık örtüşmeler buldu. Saldırı metodolojilerindeki ve örtüşen altyapıdaki benzerlik, LOBSHOT'un geliştirilmesinden ve aktif kullanımından TA505'in sorumlu olduğu hipotezine güven veriyor.
Gizli VNC Erişimi
LOBSHOT'un en endişe verici yönlerinden biri, tehdit aktörlerine VNC aracılığıyla kurbanların cihazlarına gizli erişim sağlama yeteneğidir. Bu özel özellik, saldırganların kullanıcı iznini atlayarak virüslü bir cihaza uzaktan erişim elde etmelerini sağlayarak, onlara kullanıcının bilgisi olmadan hassas verileri izleme, manipüle etme ve sızdırma yeteneği sağlar. Gizli VNC erişimi, LOBSHOT'u özellikle mali amaçları olan siber suçluların cephaneliğinde güçlü ve tehlikeli bir araç haline getirir.
Dağıtım Yöntemi
LOBSHOT kötü amaçlı yazılımının dağıtım yönteminin, masum kurbanları kandırmak için Google Reklamlarından ve sahte web sitelerinden yararlanan aldatıcı taktikler içerdiği gözlemlendi. Bu teknikler, bu kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin karmaşıklığını ve uyarlanabilirliğini daha da göstererek, son kullanıcıların reklamlara göz atarken ve reklamlara tıklarken dikkatli olmalarını daha da kritik hale getiriyor.
Google Reklamları Üzerinden Sahte Web Siteleri
LOBSHOT'un dağıtılmasının birincil yollarından biri, Google Reklamları aracılığıyla tanıtılan sahte web sitelerinin kullanılmasıdır. Tehdit aktörleri, meşru web sitelerini ve hizmetleri taklit etmek için tasarlanmış bu sahte web sitelerini oluşturur ve sürdürür. Saldırganlar, Google Ads platformunu kullanarak, kötü amaçlı reklamlarını, gerçek oldukları izlenimi altında reklamlara tıklayabilen ve cihazlarına LOBSHOT kötü amaçlı yazılımının yüklenmesine yol açabilen, şüphelenmeyen kullanıcılara gösterebilir.
Kullanıcıları Sahte AnyDesk Etki Alanına Yönlendirme
Sahte web siteleri kullanmanın yanı sıra, LOBSHOT kötü amaçlı yazılımının dağıtım süreci, kullanıcıları sahte bir AnyDesk etki alanına yönlendirmeyi de içerir. AnyDesk, birçok işletmenin ve bireyin uzaktan erişim ve destek için güvendiği popüler bir uzak masaüstü uygulamasıdır. Tehdit aktörleri, kullanıcıları kandırarak aslında LOBSHOT kötü amaçlı yazılımı olan yazılımın kötü amaçlı bir sürümünü indirmeleri için hayali bir AnyDesk etki alanı oluşturarak bu güvenden yararlandı. Bu yöntem, bu siber suçluların kurbanları tuzağa düşürmek ve onların kötü niyetli faaliyetlerini gerçekleştirmek için kullandıkları kurnazca taktikleri daha da vurgulamaktadır.
Tehlikeli Sistem Üzerinden Kurulum
Bazı durumlarda LOBSHOT kötü amaçlı yazılımı, güvenliği ihlal edilmiş bir sistem aracılığıyla kurbanın cihazına yüklenebilir. Bu durum, kullanıcının bilmeden kötü amaçlı yazılım bulaşmış bir web sitesini ziyaret etmesi veya bu web sitesinden içerik indirmesi veya hedef odaklı bir kimlik avı kampanyasının hedefi haline gelmesi durumunda meydana gelebilir. Kötü amaçlı yazılım kurbanın cihazına başarılı bir şekilde sızdıktan sonra, tehdit aktörüne gizli VNC erişimi verebilir ve aktör daha sonra sistemi istediği gibi uzaktan kontrol edebilir ve manipüle edebilir.
LOBSHOT'un Yetenekleri
LOBSHOT kötü amaçlı yazılımı, onu kullanıcı cihazlarına sızma ve bunlardan yararlanma konusunda ustalaştıran bir dizi zorlu yeteneğe sahiptir. Kötü amaçlı yazılım, öncelikle gizli Sanal Ağ Bilgi İşlemine (hVNC) odaklanarak, saldırganların virüs bulaşmış cihazları uzaktan kontrol etmesine ve kullanıcı arabirimlerine erişmesine olanak tanır. LOBSHOT'un temel yetenekleri şunları içerir:
Gizli Sanal Ağ Bilgi İşlemi (hVNC)
LOBSHOT'un işlevselliğinin temelinde, kurban cihazlara gizli VNC erişimi sağlama kapasitesi yatmaktadır. hVNC aracılığıyla, saldırganlara kurbanın rızası veya bilgisi olmadan bir cihazı uzaktan kontrol etmek için gizli bir yöntem verilir. hVNC özelliği, LOBSHOT'u özellikle tehlikeli hale getirir, çünkü kötü aktörlerin çeşitli alçakça faaliyetler yürütürken güvenliği ihlal edilmiş cihazlarda gizli bir varlık sürdürmelerine izin verir.
Cihazın Uzaktan Kontrolü
LOBSHOT'un hVNC yetenekleri, saldırganların virüslü cihazların tam kontrolünü ele geçirmesine, komutları yürütmesine, değişiklikler yapmasına ve meşru kullanıcıymış gibi kaynaklara erişmesine olanak tanır. Bu kontrol düzeyi, tehdit aktörlerinin veri hırsızlığı, ek kötü amaçlı yazılım yükleme ve casusluk kampanyaları yürütme dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır. Bir kurbanın cihazını uzaktan kontrol etme yeteneği, LOBSHOT'un oluşturduğu önemli tehdidin altını çiziyor.
Tam Grafik Kullanıcı Arayüzü (GUI)
Kötü amaçlı yazılım, hedef cihazın tam grafik kullanıcı arayüzüne (GUI) erişme yeteneğine de sahiptir; bu, saldırganın cihazın masaüstü ortamıyla görsel olarak etkileşime girebileceği anlamına gelir. Bu özellik, tehdit aktörünün güvenliği ihlal edilmiş cihazda gezinmesini ve onu manipüle etmesini kolaylaştırarak kötü amaçlı yazılıma başka bir verimlilik ve kontrol katmanı ekler. Tam GUI'ye erişim, saldırganın kullanıcı etkinliklerini izlemesine, hassas bilgilere erişmesine ve meşru kullanıcıya atfedilen eylemleri gerçekleştirmesine olanak tanıyarak LOBSHOT'un zararlılığını daha da vurgular.
Azaltma ve Endişeler
LOBSHOT kötü amaçlı yazılımı, gizli VNC yetenekleri ve TA505 gibi finansal amaçlı tehdit aktörleriyle ilişkisi nedeniyle hem bireysel kullanıcılar hem de kuruluşlar için önemli endişeler sunar. Bu endişelerin hafifletilmesi ve ele alınması, potansiyel risklerin anlaşılmasını ve uygun savunma önlemlerinin uygulanmasını ve ayrıca Google Ads gibi platformlarda daha sıkı düzenlemeler getirilmesini gerektirir.
Bankacılık ve Finansal Bilgilerin Çalınması
LOBSHOT'u çevreleyen başlıca endişelerden biri, virüslü cihazlardan bankacılık ve finansal bilgileri çalma potansiyelidir. Gizli VNC erişimi, saldırganların tespit edilmeden cihazlara sızmasına, kullanıcı etkinliklerini izlemesine ve oturum açma kimlik bilgileri, hesap numaraları ve işlem ayrıntıları gibi hassas verileri yakalamasına olanak tanır. Bu tür bilgiler, ekonomik kazanç için kullanılabilir veya kimlik bilgisi doldurma veya kimlik avı kampanyaları gibi sonraki saldırılarda kullanılabilir.
Google'da Daha Katı Reklam Yönetmeliği Çağrıları
Google Ads aracılığıyla giderek artan kötü amaçlı yazılım dağıtımı tehdidine yanıt olarak, birkaç araştırmacı ve güvenlik uzmanı, Google'ın holding şirketi Alphabet'ten reklamların onaylanmasına ilişkin daha sıkı düzenlemeler getirmesi için çağrıda bulundu. Daha güçlü reklam tarama süreçleri ve doğrulama mekanizmaları uygulamak, LOBSHOT gibi kötü amaçlı yazılımların yayılmasını en aza indirmeye ve kullanıcıların bu tür tehditlere kurban gitme riskini azaltmaya yardımcı olabilir. Bu arada son kullanıcılar, ziyaret ettikleri alan adının ve indirdikleri yazılımın meşruiyetini doğrulayarak önlem almalıdır.