多许可证折扣
Computer Security 通过恶意广告调查发现的 LOBSHOT 恶意软件

通过恶意广告调查发现的 LOBSHOT 恶意软件

通过MuraComputer Security
翻译为:
汉语

Elastic 安全实验室的研究人员最近在彻底调查恶意广告活动增加的过程中发现了一种名为LOBSHOT的新型恶意软件。 LOBSHOT 特别令人感兴趣,因为它允许威胁参与者隐藏 VNC(虚拟网络计算)访问受感染的设备。研究人员还发现了恶意软件与 TA505 之间的联系,TA505 是一个出于经济动机的网络犯罪组织,以部署各种勒索软件银行木马而闻名。

恶意广告活动激增

恶意广告活动的数量一直在增加,其隐蔽性使用户难以区分合法广告和恶意广告。安全研究人员观察到,这种上升可能归因于威胁行为者出售恶意广告即服务,进一步强调了在与在线广告互动时保持警惕的重要性。

在整个研究过程中,Elastic 安全实验室观察到利用漏洞利用工具包针对广泛使用的应用程序中的特定漏洞进行恶意广告活动的显着高峰。这些活动在几个受欢迎的网站上越来越多地被观察到,使数百万用户面临潜在威胁。通常,这些网站的访问者会遇到恶意广告,点击这些广告后,它们会重定向到一个漏洞利用工具包登录页面,LOBSHOT 最终会在该页面上在用户的设备上执行。

TA505 基础设施

被怀疑是 LOBSHOT 开发和部署幕后黑手的网络犯罪集团TA505长期以来因其广泛的恶意活动而广为人知。该组织以其组织严密且范围广泛的攻击活动而闻名,特别是将金融机构作为其主要目标,但也将其恶意活动扩展到其他行业。

在对 LOBSHOT 进行分析后,Elastic 安全实验室发现恶意软件的基础设施与之前确定的 TA505 基础设施之间存在明显的重叠。攻击方法和重叠基础设施的相似性证实了 TA505 负责开发和积极使用 LOBSHOT 的假设。

隐藏的 VNC 访问

LOBSHOT 最令人担忧的方面之一是它能够授予威胁行为者通过 VNC 隐藏访问受害者设备的权限。此特定功能允许攻击者在绕过用户同意的情况下获得对受感染设备的远程访问权限,从而使他们能够在用户不知情的情况下监视、操作和泄露敏感数据。隐藏的 VNC 访问权限使 LOBSHOT 成为网络犯罪分子手中强大而危险的工具,尤其是那些有经济动机的人。

分配方式

据观察,LOBSHOT 恶意软件的分发方法涉及欺骗性策略,利用 Google Ads 和虚假网站来引诱毫无戒心的受害者。这些技术进一步证明了该恶意软件背后的威胁行为者的复杂性和适应性,使得最终用户在浏览和点击广告时更加谨慎。

通过 Google Ads 伪造网站

LOBSHOT 传播的主要方式之一是使用通过 Google Ads 推广的虚假网站。威胁行为者创建并维护这些旨在模仿合法网站和服务的假冒网站。通过利用 Google Ads 平台,对手可以向毫无戒心的用户展示他们的恶意广告,这些用户可能会以为广告是真实的而点击广告,从而导致在他们的设备上安装 LOBSHOT 恶意软件。

将用户重定向到虚假的 AnyDesk 域

除了使用虚假网站外,LOBSHOT 恶意软件的分发过程还涉及将用户重定向到虚假的 AnyDesk 域。 AnyDesk 是一种流行的远程桌面应用程序,许多企业和个人都依赖它来进行远程访问和支持。威胁行为者通过创建一个虚构的 AnyDesk 域来利用这种信任来欺骗用户下载该软件的恶意版本,这实际上是 LOBSHOT 恶意软件。这种方法进一步突出了这些网络犯罪分子用来诱捕受害者并执行其恶意活动的狡猾策略。

通过受损系统安装

在某些情况下,LOBSHOT 恶意软件可以通过受感染的系统安装在受害者的设备上。如果用户在不知不觉中访问或从已被恶意软件感染的网站下载内容,或者如果他们已成为鱼叉式网络钓鱼活动的目标,则可能会发生这种情况。一旦恶意软件成功渗入受害者的设备,它就可以向威胁参与者授予隐藏的 VNC 访问权限,然后威胁参与者可以根据需要远程控制和操纵系统。

LOBSHOT的能力

LOBSHOT 恶意软件拥有一系列强大的功能,使其擅长渗透和利用用户设备。该恶意软件主要关注隐藏的虚拟网络计算 (hVNC),允许攻击者远程控制受感染的设备并访问其用户界面。 LOBSHOT的核心能力包括:

隐藏虚拟网络计算 (hVNC)

LOBSHOT 功能的核心是它能够为受害者设备提供隐藏的 VNC 访问。通过 hVNC,攻击者可以在未经受害者同意或不知情的情况下以隐蔽的方式远程控制设备。 hVNC 功能使 LOBSHOT 特别危险,因为它允许不良行为者在执行各种邪恶活动的同时在受感染的设备上保持隐秘存在。

设备的远程控制

LOBSHOT 的 hVNC 功能使攻击者能够完全控制受感染的设备、执行命令、进行更改和访问资源,就好像他们是合法用户一样。这种控制级别允许威胁行为者执行范围广泛的恶意活动,包括数据泄露、安装额外的恶意软件和开展间谍活动。远程控制受害者设备的能力凸显了 LOBSHOT 造成的重大威胁。

全图形用户界面 (GUI)

该恶意软件还能够访问目标设备的完整图形用户界面 (GUI),这意味着攻击者可以与设备的桌面环境进行视觉交互。此功能使威胁行为者更容易导航和操纵受感染的设备,从而为恶意软件增加了另一层效率和控制。访问完整的 GUI 使攻击者能够监视用户活动、访问敏感信息并执行归因于合法用户的操作,进一步强调了 LOBSHOT 的危害性。

缓解和担忧

LOBSHOT 恶意软件因其隐藏的 VNC 功能以及与 TA505 等出于经济动机的威胁行为者的关联而引起个人用户和组织的极大关注。缓解和解决这些担忧包括了解潜在风险并实施适当的防御措施,以及呼吁对 Google Ads 等平台实施更严格的监管。

窃取银行和财务信息

围绕 LOBSHOT 的主要担忧之一是它可能从受感染的设备中窃取银行和财务信息。其隐藏的 VNC 访问允许攻击者渗透未被发现的设备、监控用户活动并捕获敏感数据,例如登录凭据、帐号和交易详细信息。此类信息可用于获取经济利益或用于进一步的攻击,例如凭证填充或网络钓鱼活动。

呼吁对谷歌进行更严格的广告监管

为了应对通过 Google Ads 传播恶意软件的威胁越来越大,一些研究人员和安全专家呼吁 Google 的控股公司 Alphabet 对广告的批准实施更严格的规定。实施更强大的广告筛选流程和验证机制有助于最大限度地减少 LOBSHOT 等恶意软件的传播,并降低毫无戒心的用户成为此类威胁受害者的风险。同时,最终用户应通过验证他们正在访问的域和正在下载的软件的合法性来采取预防措施。

正在加载...