Phần mềm độc hại LOBSHOT

Một mối đe dọa phần mềm độc hại mới có tên LOBSHOT đã được phát hiện được phân phối thông qua Google Ads và có khả năng lây nhiễm các thiết bị Windows sử dụng hVNC. Các nhà nghiên cứu an ninh mạng đã quan sát thấy phần mềm độc hại này được quảng bá bởi các quảng cáo có vẻ như dành cho phần mềm quản lý từ xa AnyDesk hợp pháp. Tuy nhiên, thay vào đó, các quảng cáo độc hại lại dẫn người dùng đến một trang web giả mạo. Trang này, 'amydeecke.website,' đẩy một tệp MSI độc hại, đến lượt nó, thực thi lệnh PowerShell. Mục tiêu là tải xuống một tệp DLL từ download-cdn[.]com, một miền trước đây được liên kết với các hoạt động tội phạm mạng của nhóm ransomware TA505/Clop.

Tệp DLL đã tải xuống là phần mềm độc hại LOBSHOT và được lưu trong thư mục C:\ProgramData, nơi nó được thực thi bởi RunDLL32.exe. Theo một báo cáo tiết lộ thông tin chi tiết về LOBSHOT, các nhà nghiên cứu đã quan sát hơn 500 mẫu LOBSHOT duy nhất kể từ tháng 7 năm 2022. Các mẫu được xác định thường được biên dịch dưới dạng tệp DLL 32 bit hoặc tệp thực thi 32 bit có kích thước từ 93 KB đến 124 KB. Sau khi được thực thi trên các thiết bị bị vi phạm, LOBSHOT sẽ kiểm tra xem Bộ bảo vệ Microsoft có đang chạy hay không và chấm dứt quá trình thực thi nếu phát hiện thấy.

Tội phạm mạng khai thác Quảng cáo Google để phân phối các mối đe dọa phần mềm độc hại

Các chuyên gia an ninh mạng đã quan sát thấy sự gia tăng đáng kể trong việc các tác nhân đe dọa sử dụng quảng cáo Google để phát tán phần mềm độc hại thông qua kết quả tìm kiếm. Các chiến dịch quảng cáo độc hại liên quan đến việc bắt chước nhiều trang web và sản phẩm phần mềm hợp pháp, chẳng hạn như 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus và một số ứng dụng khác.

Bất chấp ấn tượng về tính hợp pháp do quảng cáo đưa ra, các trang web mà chúng chuyển hướng đến thực sự được thiết kế để phát tán phần mềm độc hại, bao gồm Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT và Royal Ransomware thay vì cung cấp các ứng dụng chính hãng.

Phần mềm độc hại LOBSHOT nhắm mục tiêu các tiện ích mở rộng và ví tiền điện tử

Nếu LOBSHOT không tìm thấy dấu hiệu về sự hiện diện của Bộ bảo vệ Microsoft, nó sẽ tiến hành lập trình đe dọa. Mối đe dọa sẽ tự động cấu hình các mục Registry để đảm bảo nó khởi động trên mỗi lần khởi động Windows. LOBSHOT sau đó sẽ thu thập và bắt đầu truyền thông tin hệ thống, bao gồm tất cả các quy trình đang chạy, từ thiết bị bị nhiễm. Ngoài ra, phần mềm độc hại tìm kiếm sự hiện diện của 32 tiện ích mở rộng ví tiền điện tử Chrome, 9 tiện ích mở rộng ví Edge và 11 tiện ích mở rộng ví Firefox.

Khi phát hiện các phần mở rộng này, phần mềm độc hại sẽ thực thi một tệp trong thư mục C:\ProgramData. Tuy nhiên, các nhà nghiên cứu không chắc liệu mục đích của tệp là để trích xuất dữ liệu mở rộng hay một số hành động có hại khác.

Mặc dù thu thập các tiện ích mở rộng tiền điện tử là mục tiêu phổ biến của phần mềm độc hại, nhưng phần mềm độc hại LOBSHOT cũng có mô-đun hVNC được tích hợp vào cấu trúc của nó. Mô-đun này cho phép các tác nhân đe dọa truy cập vào thiết bị bị nhiễm từ xa một cách kín đáo.

Phần mềm độc hại LOBSHOT cung cấp quyền truy cập từ xa vào các thiết bị bị vi phạm

Khả năng điều khiển từ xa máy tính để bàn Windows mà nạn nhân không hề hay biết được thực hiện nhờ mô-đun hVNC (máy tính mạng ảo ẩn).

Phần mềm độc hại được gọi là LOBSHOT bao gồm một mô-đun hVNC, cho phép các tác nhân đe dọa thao túng màn hình ẩn như thể chúng hiện diện thực tế trước màn hình đó, bằng cách sử dụng bàn phím và chuột.

Sau khi mô-đun được kích hoạt, máy của nạn nhân bắt đầu truyền ảnh chụp màn hình của màn hình ẩn tới máy khách đang nghe do kẻ tấn công điều khiển. Kẻ tấn công có thể tương tác với máy khách bằng cách thao tác trên bàn phím, nhấp vào nút và di chuyển chuột, cho phép chúng điều khiển hoàn toàn thiết bị từ xa.

Với toàn quyền truy cập do hVNC cấp, các tác nhân đe dọa có thể thực hiện nhiều hoạt động khác nhau, chẳng hạn như thực thi lệnh, đánh cắp dữ liệu và triển khai các tải trọng phần mềm độc hại bổ sung.