Phần mềm độc hại LOBSHOT được phát hiện thông qua điều tra quảng cáo độc hại
Các nhà nghiên cứu của Elastic Security Labs gần đây đã phát hiện ra một phần mềm độc hại mới có tên LOBSHOT trong quá trình điều tra kỹ lưỡng về sự gia tăng của các chiến dịch quảng cáo độc hại. LOBSHOT được đặc biệt quan tâm vì nó cấp cho các tác nhân đe dọa quyền truy cập VNC (Máy tính mạng ảo) ẩn vào các thiết bị bị nhiễm. Các nhà nghiên cứu cũng tìm thấy mối liên hệ giữa phần mềm độc hại và TA505, một nhóm tội phạm mạng có động cơ tài chính được biết đến với việc triển khai nhiều ransomware và trojan ngân hàng .
Mục lục
Tăng đột biến trong các chiến dịch quảng cáo độc hại
Các chiến dịch quảng cáo độc hại ngày càng gia tăng về số lượng và tính chất lén lút của chúng khiến người dùng khó phân biệt giữa quảng cáo hợp pháp và quảng cáo độc hại. Các nhà nghiên cứu bảo mật đã quan sát thấy rằng sự gia tăng này có thể là do các tác nhân đe dọa bán quảng cáo độc hại dưới dạng dịch vụ, điều này càng làm nổi bật tầm quan trọng của việc cảnh giác khi tương tác với quảng cáo trực tuyến.
Trong suốt quá trình nghiên cứu của mình, Elastic Security Labs đã quan sát thấy sự gia tăng đột biến trong các chiến dịch quảng cáo độc hại sử dụng bộ công cụ khai thác để nhắm mục tiêu vào các lỗ hổng cụ thể trong các ứng dụng được sử dụng rộng rãi. Các chiến dịch này ngày càng được quan sát thấy trên một số trang web phổ biến, khiến hàng triệu người dùng gặp phải các mối đe dọa tiềm ẩn. Thông thường, khách truy cập của các trang web này gặp phải quảng cáo độc hại mà khi được nhấp vào sẽ chuyển hướng đến trang đích của bộ công cụ khai thác nơi LOBSHOT cuối cùng sẽ thực thi trên thiết bị của người dùng.
Cơ sở hạ tầng TA505
TA505 , nhóm tội phạm mạng bị nghi ngờ đứng sau việc phát triển và triển khai LOBSHOT, từ lâu đã được biết đến với các hoạt động độc hại trên phạm vi rộng. Nhóm này được biết đến với các chiến dịch tấn công đa dạng và được tổ chức tốt, đặc biệt tập trung vào các tổ chức tài chính làm mục tiêu chính nhưng cũng mở rộng các hoạt động độc hại của chúng sang các ngành khác.
Sau khi phân tích LOBSHOT, Elastic Security Labs đã tìm thấy sự chồng chéo rõ ràng giữa cơ sở hạ tầng của phần mềm độc hại và cơ sở hạ tầng TA505 đã xác định trước đó. Sự giống nhau trong các phương pháp tấn công và cơ sở hạ tầng chồng chéo mang lại sự tin cậy cho giả thuyết rằng TA505 chịu trách nhiệm phát triển và sử dụng tích cực LOBSHOT.
Truy cập VNC ẩn
Một trong những khía cạnh đáng lo ngại nhất của LOBSHOT là khả năng cấp cho các tác nhân đe dọa quyền truy cập ẩn vào thiết bị của nạn nhân thông qua VNC. Tính năng cụ thể này cho phép kẻ tấn công có quyền truy cập từ xa vào thiết bị bị nhiễm trong khi bỏ qua sự đồng ý của người dùng, cung cấp cho chúng khả năng giám sát, thao tác và lấy cắp dữ liệu nhạy cảm mà người dùng không hề hay biết. Quyền truy cập VNC ẩn khiến LOBSHOT trở thành một công cụ mạnh mẽ và nguy hiểm trong kho vũ khí của tội phạm mạng, đặc biệt là những kẻ có động cơ tài chính.
Phương thức phân phối
Phương thức phân phối của phần mềm độc hại LOBSHOT đã được quan sát là có liên quan đến các chiến thuật lừa đảo, tận dụng Quảng cáo Google và các trang web giả mạo để lôi kéo các nạn nhân cả tin. Những kỹ thuật này càng thể hiện sự tinh vi và khả năng thích ứng của các tác nhân đe dọa đằng sau phần mềm độc hại này, khiến người dùng cuối càng phải thận trọng hơn khi duyệt và nhấp vào quảng cáo.
Trang web giả mạo thông qua Google Ads
Một trong những cách phân phối LOBSHOT chính là thông qua việc sử dụng các trang web giả mạo được quảng cáo qua Google Ads. Các tác nhân đe dọa tạo và duy trì các trang web giả mạo này, được thiết kế để bắt chước các trang web và dịch vụ hợp pháp. Bằng cách khai thác nền tảng Quảng cáo Google, các đối thủ có thể hiển thị quảng cáo độc hại của chúng cho những người dùng không nghi ngờ, những người có thể nhấp vào quảng cáo với ấn tượng rằng chúng là thật, dẫn đến việc cài đặt phần mềm độc hại LOBSHOT trên thiết bị của họ.
Chuyển hướng người dùng đến tên miền AnyDesk giả mạo
Ngoài việc sử dụng các trang web giả mạo, quy trình phân phối phần mềm độc hại LOBSHOT cũng liên quan đến việc chuyển hướng người dùng đến một miền AnyDesk giả mạo. AnyDesk là một ứng dụng máy tính từ xa phổ biến mà nhiều doanh nghiệp và cá nhân tin dùng để truy cập và hỗ trợ từ xa. Những kẻ đe dọa đã lợi dụng sự tin tưởng này bằng cách tạo một miền AnyDesk hư cấu để đánh lừa người dùng tải xuống phiên bản độc hại của phần mềm, đây thực sự là phần mềm độc hại LOBSHOT. Phương pháp này làm nổi bật thêm các chiến thuật xảo quyệt mà những tội phạm mạng này sử dụng để gài bẫy nạn nhân và thực hiện các hoạt động độc hại của chúng.
Cài đặt thông qua hệ thống thỏa hiệp
Trong một số trường hợp, phần mềm độc hại LOBSHOT có thể được cài đặt trên thiết bị của nạn nhân thông qua một hệ thống bị xâm nhập. Điều này có thể xảy ra nếu người dùng vô tình truy cập hoặc tải xuống nội dung từ một trang web đã bị nhiễm phần mềm độc hại hoặc nếu họ trở thành mục tiêu của một chiến dịch lừa đảo trực tuyến. Khi phần mềm độc hại đã xâm nhập thành công vào thiết bị của nạn nhân, nó có thể cấp quyền truy cập VNC ẩn cho tác nhân đe dọa, sau đó kẻ này có thể điều khiển và thao tác hệ thống từ xa theo ý muốn.
Khả năng của LOBSHOT
Phần mềm độc hại LOBSHOT tự hào có một loạt các khả năng ghê gớm khiến nó có thể xâm nhập và khai thác thiết bị người dùng một cách thành thạo. Phần mềm độc hại tập trung chủ yếu vào Máy tính mạng ảo ẩn (hVNC), cho phép kẻ tấn công điều khiển từ xa các thiết bị bị nhiễm và truy cập vào giao diện người dùng của chúng. Các khả năng cốt lõi của LOBSHOT bao gồm:
Điện toán mạng ảo ẩn (hVNC)
Trọng tâm của chức năng LOBSHOT là khả năng cung cấp quyền truy cập VNC ẩn cho các thiết bị nạn nhân. Thông qua hVNC, những kẻ tấn công được cấp một phương pháp bí mật để điều khiển thiết bị từ xa mà nạn nhân không đồng ý hoặc không biết. Tính năng hVNC làm cho LOBSHOT trở nên đặc biệt nguy hiểm vì nó cho phép những kẻ xấu duy trì sự hiện diện lén lút trên các thiết bị bị xâm nhập trong khi thực hiện nhiều hoạt động bất chính khác nhau.
Điều khiển từ xa của thiết bị
Các khả năng hVNC của LOBSHOT cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị bị nhiễm, thực thi lệnh, thay đổi và truy cập tài nguyên như thể chúng là người dùng hợp pháp. Mức độ kiểm soát này cho phép các tác nhân đe dọa thực hiện nhiều hoạt động độc hại, bao gồm đánh cắp dữ liệu, cài đặt phần mềm độc hại bổ sung và tiến hành các chiến dịch gián điệp. Khả năng điều khiển từ xa thiết bị của nạn nhân nhấn mạnh mối đe dọa đáng kể do LOBSHOT gây ra.
Giao diện người dùng đồ họa đầy đủ (GUI)
Phần mềm độc hại cũng có khả năng truy cập vào toàn bộ giao diện người dùng đồ họa (GUI) của thiết bị mục tiêu, có nghĩa là kẻ tấn công có thể tương tác trực quan với môi trường máy tính để bàn của thiết bị. Tính năng này bổ sung một lớp hiệu quả và kiểm soát khác cho phần mềm độc hại bằng cách giúp tác nhân đe dọa điều hướng và thao túng thiết bị bị xâm nhập dễ dàng hơn. Quyền truy cập vào GUI đầy đủ cho phép kẻ tấn công giám sát các hoạt động của người dùng, truy cập thông tin nhạy cảm và thực hiện các hành động được quy cho người dùng hợp pháp, nhấn mạnh thêm sự nguy hiểm của LOBSHOT.
Giảm thiểu và Mối quan tâm
Phần mềm độc hại LOBSHOT gây lo ngại đáng kể cho cả người dùng cá nhân và tổ chức, do các khả năng VNC ẩn của nó và liên kết với các tác nhân đe dọa có động cơ tài chính như TA505. Giảm thiểu và giải quyết những lo ngại này liên quan đến việc hiểu các rủi ro tiềm ẩn và triển khai các biện pháp phòng thủ thích hợp, cũng như kêu gọi các quy định chặt chẽ hơn trên các nền tảng như Google Ads.
Đánh cắp thông tin tài chính ngân hàng
Một trong những mối quan tâm chính xung quanh LOBSHOT là khả năng đánh cắp thông tin tài chính và ngân hàng từ các thiết bị bị nhiễm. Quyền truy cập VNC ẩn của nó cho phép kẻ tấn công xâm nhập vào thiết bị mà không bị phát hiện, giám sát hoạt động của người dùng và thu thập dữ liệu nhạy cảm như thông tin đăng nhập, số tài khoản và chi tiết giao dịch. Những thông tin như vậy có thể bị khai thác vì lợi ích kinh tế hoặc được sử dụng trong các cuộc tấn công tiếp theo, chẳng hạn như các chiến dịch nhồi nhét thông tin xác thực hoặc lừa đảo.
Kêu gọi quy định quảng cáo chặt chẽ hơn trên Google
Để đối phó với mối đe dọa ngày càng tăng của việc phân phối phần mềm độc hại thông qua Google Ads, một số nhà nghiên cứu và chuyên gia bảo mật đã kêu gọi Alphabet, công ty mẹ của Google, áp đặt các quy định chặt chẽ hơn về việc phê duyệt quảng cáo. Việc triển khai các quy trình sàng lọc quảng cáo và cơ chế xác minh mạnh mẽ hơn có thể giúp giảm thiểu sự lây lan của phần mềm độc hại như LOBSHOT và giảm nguy cơ người dùng nhẹ dạ trở thành nạn nhân của những mối đe dọa như vậy. Trong thời gian chờ đợi, người dùng cuối nên đề phòng bằng cách xác minh tính hợp pháp của miền họ đang truy cập và phần mềm họ đang tải xuống.