LOBSHOT Шкідливе програмне забезпечення
Було виявлено, що нова загроза зловмисного програмного забезпечення під назвою LOBSHOT поширюється через Google Ads і здатна заразити пристрої Windows за допомогою hVNC. Дослідники з кібербезпеки помітили, що зловмисне програмне забезпечення рекламується рекламою законного програмного забезпечення для віддаленого керування AnyDesk. Однак натомість шкідлива реклама спрямовує користувачів на підроблений веб-сайт. Ця сторінка «amydeecke.website» надсилає шкідливий файл MSI, який, у свою чергу, виконує команду PowerShell. Мета полягає в тому, щоб завантажити DLL з download-cdn[.]com, домену, який раніше був пов’язаний з кіберзлочинною діяльністю групи програм-вимагачів TA505/Clop.
Завантажений DLL-файл є зловмисною програмою LOBSHOT і зберігається в папці C:\ProgramData, де його запускає RunDLL32.exe. Відповідно до звіту, який розкриває подробиці про LOBSHOT, дослідники спостерігали понад 500 унікальних зразків LOBSHOT з липня 2022 року. Виявлені зразки зазвичай скомпільовані як 32-розрядні DLL або 32-розрядні виконувані файли розміром від 93 КБ до 124 КБ. Після виконання на зламаних пристроях LOBSHOT перевіряє, чи запущено Microsoft Defender, і припиняє його виконання, якщо його виявлено.
Зміст
Кіберзлочинці використовують Google Ads для розповсюдження загроз зловмисного програмного забезпечення
Експерти з кібербезпеки помітили значне зростання використання реклами Google зловмисниками для поширення шкідливого програмного забезпечення через результати пошуку. Шкідливі рекламні кампанії включали імітацію різних веб-сайтів і законних програмних продуктів, таких як 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus і ряд інших програм.
Незважаючи на враження легітимності, створене рекламою, веб-сайти, на які вони переспрямовують, насправді створені для розповсюдження зловмисного програмного забезпечення, зокрема Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT і Royal Ransomware , замість того, щоб надавати справжні програми.
Зловмисне програмне забезпечення LOBSHOT націлене на розширення та гаманці криптовалюти
Якщо LOBSHOT не виявить ознак присутності Microsoft Defender, він продовжить своє загрозливе програмування. Загроза автоматично налаштує записи реєстру, щоб забезпечити його запуск під час кожного завантаження Windows. Потім LOBSHOT збере та почне передавати системну інформацію, включаючи всі запущені процеси, із зараженого пристрою. Крім того, зловмисне програмне забезпечення шукає наявність 32 розширень гаманця для криптовалюти Chrome, дев’яти розширень гаманця Edge та 11 розширень гаманця Firefox.
Після виявлення цих розширень зловмисне програмне забезпечення запускає файл у папці C:\ProgramData. Однак дослідники не впевнені, чи призначений файл для вилучення даних розширення чи для виконання інших шкідливих дій.
Хоча збір розширень криптовалюти є загальною метою зловмисного програмного забезпечення, зловмисне програмне забезпечення LOBSHOT також має модуль hVNC, включений у його структуру. Цей модуль дозволяє зловмисникам отримати віддалений доступ до зараженого пристрою.
Зловмисне програмне забезпечення LOBSHOT надає віддалений доступ до зламаних пристроїв
Можливість віддалено керувати настільним комп’ютером Windows без відома жертви стала можливою завдяки модулю hVNC (прихована віртуальна мережева обчислювальна робота).
Зловмисне програмне забезпечення, відоме як LOBSHOT, містить модуль hVNC, який дозволяє зловмисникам маніпулювати прихованим робочим столом, ніби вони фізично присутні перед ним, використовуючи клавіатуру та мишу.
Після активації модуля комп’ютер жертви починає передавати знімки екрана прихованого робочого столу клієнту-прослухувачу, яким керує зловмисник. Зловмисник може взаємодіяти з клієнтом, маніпулюючи клавіатурою, натискаючи кнопки та переміщаючи мишу, надаючи йому повний дистанційний контроль над пристроєм.
Завдяки повному доступу, наданому hVNC, зловмисники можуть виконувати різноманітні дії, наприклад виконувати команди, викрадення даних і розгортання додаткових шкідливих програм.
