LOBSHOT Шкідливе програмне забезпечення виявлено під час розслідування шкідливої реклами
Дослідники Elastic Security Labs нещодавно виявили нове зловмисне програмне забезпечення під назвою LOBSHOT під час ретельного розслідування збільшення кількості рекламних кампаній. LOBSHOT представляє особливий інтерес, оскільки він надає загрозливим суб’єктам прихований VNC (Virtual Network Computing) доступ до заражених пристроїв. Дослідники також виявили зв’язок між шкідливим програмним забезпеченням і TA505, фінансово мотивованою кіберзлочинною групою, відомою розгортанням різноманітних програм-вимагачів і банківських троянів .
Зміст
Зростання кількості рекламних кампаній
Кількість рекламних кампаній із зловмисною рекламою зростає, і через їх прихований характер користувачам важко відрізнити законну рекламу від зловмисної. Дослідники з питань безпеки помітили, що це зростання можна пояснити тим, що суб’єкти загрози продають шкідливу рекламу як послугу, що ще більше підкреслює важливість бути пильним під час взаємодії з онлайн-рекламою.
Під час свого дослідження лабораторії Elastic Security Labs спостерігали значне зростання кількості рекламних кампаній із застосуванням наборів експлойтів для виявлення певних уразливостей у широко використовуваних програмах. Ці кампанії все частіше спостерігаються на кількох популярних веб-сайтах, наражаючи мільйони користувачів на потенційні загрози. Як правило, відвідувачі цих веб-сайтів стикаються зі зловмисними оголошеннями, які під час натискання переспрямовують на цільову сторінку набору експлойтів, де LOBSHOT зрештою виконується на пристрої користувача.
TA505 Інфраструктура
TA505 , кіберзлочинна група, яку підозрюють у розробці та розгортанні LOBSHOT, уже давно відома своєю широкомасштабною шкідливою діяльністю. Ця група відома своїми добре організованими та різноманітними кампаніями атак, зокрема зосередженими на фінансових установах як їх головних цілях, але також поширюючи свою зловмисну діяльність на інші галузі.
Після аналізу LOBSHOT лабораторії Elastic Security Labs виявили явне збіги між інфраструктурою шкідливого програмного забезпечення та раніше визначеною інфраструктурою TA505. Подібність методологій атак і дублювання інфраструктури підтверджує гіпотезу про те, що TA505 відповідає за розробку й активне використання LOBSHOT.
Прихований доступ до VNC
Одним із найбільш занепокоєних аспектів LOBSHOT є його здатність надавати суб’єктам загрози прихований доступ до пристроїв жертв через VNC. Ця особливість дозволяє зловмисникам отримати віддалений доступ до зараженого пристрою в обхід згоди користувача, надаючи їм можливість відстежувати, маніпулювати та викрадати конфіденційні дані без відома користувача. Прихований доступ до VNC робить LOBSHOT потужним і небезпечним інструментом в арсеналі кіберзлочинців, особливо тих, хто має фінансові мотиви.
Спосіб розподілу
Було виявлено, що метод розповсюдження зловмисного програмного забезпечення LOBSHOT передбачає тактику омани, використання оголошень Google і підроблених веб-сайтів для залучення жертв, які нічого не підозрюють. Ці методи ще більше демонструють витонченість і адаптивність загроз, що стоять за цим зловмисним програмним забезпеченням, що робить ще більш важливим для кінцевих користувачів бути обережними під час перегляду та натискання рекламних оголошень.
Підроблені веб-сайти через Google Ads
Одним із основних способів розповсюдження LOBSHOT є використання підроблених веб-сайтів, які рекламуються через Google Ads. Зловмисники створюють і підтримують ці підроблені веб-сайти, які створені для імітації законних веб-сайтів і служб. Використовуючи платформу Google Ads, зловмисники можуть показувати свою зловмисну рекламу нічого не підозрюючим користувачам, які можуть клацати рекламу під враженням, що вона справжня, що призводить до встановлення зловмисного програмного забезпечення LOBSHOT на їхні пристрої.
Переспрямування користувачів на підроблений домен AnyDesk
Окрім використання підроблених веб-сайтів, процес розповсюдження зловмисного програмного забезпечення LOBSHOT також передбачає перенаправлення користувачів на підроблений домен AnyDesk. AnyDesk — популярна програма для віддаленого робочого столу, на яку покладаються багато компаній і окремі особи для віддаленого доступу та підтримки. Зловмисники скористалися цією довірою, створивши фіктивний домен AnyDesk, щоб обманом змусити користувачів завантажити шкідливу версію програмного забезпечення, яке насправді є шкідливим програмним забезпеченням LOBSHOT. Цей метод ще більше підкреслює хитру тактику, яку використовують ці кіберзлочинці, щоб зловити жертв у пастку та виконати свої зловмисні дії.
Встановлення через скомпрометовану систему
У деяких випадках шкідливе програмне забезпечення LOBSHOT може бути встановлено на пристрої жертви через скомпрометовану систему. Це може статися, якщо користувач несвідомо відвідує або завантажує вміст із веб-сайту, зараженого шкідливим програмним забезпеченням, або якщо він став об’єктом фішингової кампанії. Після того, як зловмисне програмне забезпечення успішно проникло на пристрій жертви, воно може надати прихований доступ до VNC зловмиснику, який потім може віддалено контролювати та маніпулювати системою за бажанням.
Можливості LOBSHOT
Зловмисне програмне забезпечення LOBSHOT має низку чудових можливостей, які роблять його вправним у проникненні та експлуатації пристроїв користувачів. Зловмисне програмне забезпечення зосереджується в основному на прихованих обчисленнях віртуальної мережі (hVNC), що дозволяє зловмисникам віддалено керувати зараженими пристроями та отримувати доступ до їх інтерфейсу користувача. Основні можливості LOBSHOT включають:
Обчислення прихованої віртуальної мережі (hVNC)
Основою функціональності LOBSHOT є його здатність надавати прихований доступ VNC до пристроїв-жертв. Через hVNC зловмисникам надається прихований метод дистанційного керування пристроєм без згоди або відома жертви. Функція hVNC робить LOBSHOT особливо небезпечним, оскільки дозволяє зловмисникам зберігати таємну присутність на скомпрометованих пристроях під час виконання різноманітних мерзенних дій.
Дистанційне керування пристроєм
Можливості LOBSHOT hVNC дозволяють зловмисникам отримати повний контроль над зараженими пристроями, виконувати команди, вносити зміни та отримувати доступ до ресурсів так, ніби вони були законними користувачами. Цей рівень контролю дозволяє зловмисникам здійснювати широкий спектр зловмисних дій, включаючи викрадання даних, встановлення додаткового шкідливого програмного забезпечення та проведення шпигунських кампаній. Можливість дистанційного керування пристроєм жертви підкреслює значну загрозу, яку становить LOBSHOT.
Повний графічний інтерфейс користувача (GUI)
Зловмисне програмне забезпечення також має можливість отримати доступ до повного графічного інтерфейсу користувача (GUI) цільового пристрою, що означає, що зловмисник може візуально взаємодіяти з робочим середовищем пристрою. Ця функція додає до зловмисного програмного забезпечення ще один рівень ефективності та контролю, полегшуючи навігацію та маніпулювання скомпрометованим пристроєм для зловмисника. Доступ до повного графічного інтерфейсу дозволяє зловмиснику відстежувати дії користувача, отримувати доступ до конфіденційної інформації та виконувати дії, приписувані законному користувачеві, ще більше підкреслюючи згубність LOBSHOT.
Пом'якшення та проблеми
Зловмисне програмне забезпечення LOBSHOT створює серйозні занепокоєння як для окремих користувачів, так і для організацій через його приховані можливості VNC і зв’язок із фінансово вмотивованими загрозами, такими як TA505. Пом’якшення та вирішення цих проблем передбачає розуміння потенційних ризиків і впровадження відповідних захисних заходів, а також заклик до більш суворих правил для таких платформ, як Google Ads.
Викрадення банківської та фінансової інформації
Однією з головних проблем, пов’язаних із LOBSHOT, є його потенціал для викрадення банківської та фінансової інформації із заражених пристроїв. Його прихований доступ до VNC дозволяє зловмисникам непомітно проникати в пристрої, відстежувати дії користувачів і захоплювати конфіденційні дані, такі як облікові дані для входу, номери облікових записів і деталі транзакцій. Така інформація може бути використана для отримання економічної вигоди або використана в подальших атаках, наприклад підміні облікових даних або фішингових кампаніях.
Закликає до суворішого регулювання реклами в Google
У відповідь на зростаючу загрозу розповсюдження зловмисного програмного забезпечення через Google Ads кілька дослідників і спеціалістів із безпеки закликали Alphabet, холдингову компанію Google, запровадити суворіші правила щодо схвалення реклами. Впровадження більш надійних процесів перевірки оголошень і механізмів перевірки може допомогти мінімізувати розповсюдження зловмисного програмного забезпечення, такого як LOBSHOT, і зменшити ризик того, що нічого не підозрюють користувачі стануть жертвами таких загроз. Тим часом кінцеві користувачі повинні вживати запобіжних заходів, перевіряючи легітимність домену, який вони відвідують, і програмного забезпечення, яке вони завантажують.