LOBSHOT Kötü Amaçlı Yazılım
LOBSHOT adlı yeni bir kötü amaçlı yazılım tehdidinin Google Ads aracılığıyla dağıtıldığı ve hVNC kullanarak Windows cihazlarına bulaşabildiği tespit edildi. Kötü amaçlı yazılımın, meşru AnyDesk uzaktan yönetim yazılımı içinmiş gibi görünen reklamlarla tanıtıldığı siber güvenlik araştırmacıları tarafından gözlemlendi. Ancak, kötü amaçlı reklamlar bunun yerine kullanıcıları sahte bir web sitesine yönlendirir. 'Amydeecke.website' adlı bu sayfa, sırayla bir PowerShell komutu yürüten kötü amaçlı bir MSI dosyasını zorlar. Amaç, daha önce TA505/Clop fidye yazılımı grubunun siber suçlu faaliyetleriyle ilişkilendirilmiş bir alan olan download-cdn[.]com'dan bir DLL indirmektir.
İndirilen DLL dosyası, LOBSHOT kötü amaçlı yazılımıdır ve RunDLL32.exe tarafından yürütüldüğü C:\ProgramData klasörüne kaydedilir. LOBSHOT ile ilgili ayrıntıları ortaya çıkaran bir rapora göre, araştırmacılar Temmuz 2022'den bu yana 500'den fazla benzersiz LOBSHOT örneği gözlemlediler. Tanımlanan örnekler genellikle 93 KB ile 124 KB arasında değişen 32 bit DLL'ler veya 32 bit yürütülebilir dosyalar olarak derlenir. İhlal edilen cihazlarda yürütüldükten sonra LOBSHOT, Microsoft Defender'ın çalışıp çalışmadığını kontrol eder ve algılanırsa yürütmeyi sonlandırır.
İçindekiler
Siber Suçlular, Kötü Amaçlı Yazılım Tehditlerini Dağıtmak İçin Google Reklamlarından Yararlanıyor
Siber güvenlik uzmanları, kötü amaçlı yazılımları arama sonuçları aracılığıyla yaymak için tehdit aktörleri tarafından Google reklamlarının kullanımında önemli bir artış gözlemledi. Kötü amaçlı reklam kampanyaları, çeşitli web sitelerinin ve 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ve diğer birkaç uygulama gibi meşru yazılım ürünlerinin taklidini içeriyordu.
Reklamların verdiği meşruiyet izlenimine rağmen, yönlendirdikleri web siteleri, orijinal uygulamalar sağlamak yerine aslında Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT ve Royal Ransomware dahil olmak üzere kötü amaçlı yazılımları yaymak için tasarlanmıştır.
LOBSHOT Kötü Amaçlı Yazılımı Kripto Para Uzantılarını ve Cüzdanları Hedefliyor
LOBSHOT, Microsoft Defender'ın varlığına dair işaretler bulamazsa, tehdit edici programlamasına devam edecektir. Tehdit, her Windows önyüklemesinde başlatılmasını sağlamak için Kayıt Defteri girdilerini otomatik olarak yapılandırır. LOBSHOT daha sonra virüslü cihazdan çalışan tüm işlemler dahil olmak üzere sistem bilgilerini toplar ve iletmeye başlar. Ek olarak, kötü amaçlı yazılım, 32 Chrome kripto para cüzdanı uzantısının, dokuz Edge cüzdan uzantısının ve 11 Firefox cüzdan uzantısının varlığını arar.
Kötü amaçlı yazılım, bu uzantıları algıladıktan sonra C:\ProgramData klasöründeki bir dosyayı yürütür. Ancak araştırmacılar, dosyanın amacının uzantı verilerini ayıklamak mı yoksa başka bir zararlı eylem mi olduğundan emin değiller.
Kripto para uzantılarını toplamak kötü amaçlı yazılım için ortak bir hedef olsa da, LOBSHOT kötü amaçlı yazılımının yapısına dahil edilmiş bir hVNC modülü de vardır. Bu modül, tehdit aktörlerinin virüs bulaşmış bir cihaza uzaktan gizlice erişmesini sağlar.
LOBSHOT Kötü Amaçlı Yazılımı, İhlal Edilen Cihazlara Uzaktan Erişim Sağlıyor
Kurbanın bilgisi olmadan bir Windows masaüstü bilgisayarını uzaktan kontrol etme yeteneği, hVNC (gizli sanal ağ bilgi işlemi) modülü tarafından mümkün kılınmıştır.
LOBSHOT olarak bilinen kötü amaçlı yazılım, tehdit aktörlerinin klavye ve farelerini kullanarak sanki fiziksel olarak önündeymişler gibi gizli masaüstünü manipüle etmelerini sağlayan bir hVNC modülü içerir.
Modül etkinleştirildikten sonra kurbanın makinesi, gizli masaüstünün ekran görüntülerini saldırgan tarafından kontrol edilen bir dinleme istemcisine iletmeye başlar. Saldırgan, klavyeyi manipüle ederek, düğmeleri tıklatarak ve fareyi hareket ettirerek istemciyle etkileşim kurabilir ve istemciye aygıtın tam uzaktan denetimini verebilir.
hVNC tarafından sağlanan tam erişim ile tehdit aktörleri, komut yürütme, veri çalma ve ek kötü amaçlı yazılım yükleri dağıtma gibi çeşitli etkinlikler gerçekleştirebilir.
