LOBSHOT 恶意软件

已发现一种名为 LOBSHOT 的新恶意软件威胁通过 Google Ads 传播，并且能够使用 hVNC 感染 Windows 设备。网络安全研究人员观察到该恶意软件通过看似合法的 AnyDesk 远程管理软件的广告进行推广。然而，恶意广告反而会将用户引导至虚假网站。此页面“amydeecke.website”推送一个恶意 MSI 文件，该文件依次执行 PowerShell 命令。目标是从 download-cdn[.]com 下载 DLL，该域以前与 TA505/Clop 勒索软件组的网络犯罪活动有关。

下载的DLL文件是LOBSHOT恶意软件，保存在C:\ProgramData文件夹中，由RunDLL32.exe执行。根据一份披露 LOBSHOT 详细信息的报告，自 2022 年 7 月以来，研究人员已经观察到 500 多个独特的 LOBSHOT 样本。识别出的样本通常被编译为 32 位 DLL 或 32 位可执行文件，大小在 93 KB 到 124 KB 之间。在被破坏的设备上执行后，LOBSHOT 会检查 Microsoft Defender 是否正在运行，如果检测到则终止其执行。

网络罪犯利用谷歌广告传播恶意软件威胁

网络安全专家观察到威胁行为者使用 Google 广告通过搜索结果传播恶意软件的情况大幅增加。恶意广告活动涉及模仿各种网站和合法软件产品，例如 7-ZIP、VLC、OBS、Notepad++、CCleaner、TradingView、Rufus 和其他几个应用程序。

尽管广告给人以合法性的印象，但它们重定向到的网站实际上旨在传播恶意软件，包括Gozi 、 RedLine 、 Vidar 、 Cobalt Strike 、SectoRAT 和Royal Ransomware ，而不是提供正版应用程序。

LOBSHOT 恶意软件以加密货币扩展和钱包为目标

如果 LOBSHOT 没有发现 Microsoft Defender 存在的迹象，它将继续进行威胁编程。该威胁将自动配置注册表条目以确保它在每次 Windows 启动时启动。 LOBSHOT 然后将收集并开始传输来自受感染设备的系统信息，包括所有正在运行的进程。此外，该恶意软件还会寻找 32 个 Chrome 加密货币钱包扩展、9 个 Edge 钱包扩展和 11 个 Firefox 钱包扩展。

检测到这些扩展后，恶意软件会执行 C:\ProgramData 文件夹中的文件。然而，研究人员不确定该文件的目的是提取扩展数据还是其他一些有害行为。

尽管收集加密货币扩展是恶意软件的共同目标，但 LOBSHOT 恶意软件还在其结构中包含一个 hVNC 模块。该模块使威胁行为者能够谨慎地远程访问受感染的设备。

LOBSHOT 恶意软件提供对被入侵设备的远程访问

hVNC（隐藏虚拟网络计算）模块使在受害者不知情的情况下远程控制 Windows 台式计算机成为可能。

名为 LOBSHOT 的恶意软件包含一个 hVNC 模块，该模块使威胁行为者能够使用键盘和鼠标操纵隐藏的桌面，就好像他们实际出现在桌面前面一样。

一旦模块被激活，受害者的机器就会开始将隐藏桌面的屏幕截图传输到由攻击者控制的监听客户端。攻击者可以通过操纵键盘、单击按钮和移动鼠标与客户端进行交互，从而使他们能够完全远程控制设备。

通过 hVNC 授予的完全访问权限，威胁参与者可以执行各种活动，例如执行命令、窃取数据和部署其他恶意软件有效负载。