多許可證折扣
Computer Security 通過惡意廣告調查發現的 LOBSHOT 惡意軟件

通過惡意廣告調查發現的 LOBSHOT 惡意軟件

Computer SecurityMura
翻譯為:
漢語

Elastic 安全實驗室的研究人員最近在徹底調查惡意廣告活動增加的過程中發現了一種名為LOBSHOT的新型惡意軟件。 LOBSHOT 特別令人感興趣,因為它允許威脅參與者隱藏 VNC(虛擬網絡計算)訪問受感染的設備。研究人員還發現了惡意軟件與 TA505 之間的聯繫,TA505 是一個出於經濟動機的網絡犯罪組織,以部署各種勒索軟件銀行木馬而聞名。

惡意廣告活動激增

惡意廣告活動的數量一直在增加,其隱蔽性使用戶難以區分合法廣告和惡意廣告。安全研究人員觀察到,這種上升可能歸因於威脅行為者出售惡意廣告即服務,進一步強調了在與在線廣告互動時保持警惕的重要性。

在整個研究過程中,Elastic 安全實驗室觀察到利用漏洞利用工具包針對廣泛使用的應用程序中的特定漏洞進行惡意廣告活動的顯著高峰。這些活動在幾個受歡迎的網站上越來越多地被觀察到,使數百萬用戶面臨潛在威脅。通常,這些網站的訪問者會遇到惡意廣告,點擊這些廣告後,它們會重定向到一個漏洞利用工具包登錄頁面,LOBSHOT 最終會在該頁面上在用戶的設備上執行。

TA505 基礎設施

被懷疑是 LOBSHOT 開發和部署幕後黑手的網絡犯罪集團TA505長期以來因其廣泛的惡意活動而廣為人知。該組織以其組織嚴密且範圍廣泛的攻擊活動而聞名,特別是將金融機構作為其主要目標,但也將其惡意活動擴展到其他行業。

在對 LOBSHOT 進行分析後,Elastic 安全實驗室發現惡意軟件的基礎設施與之前確定的 TA505 基礎設施之間存在明顯的重疊。攻擊方法和重疊基礎設施的相似性證明了 TA505 負責開發和積極使用 LOBSHOT 的假設。

隱藏的 VNC 訪問

LOBSHOT 最令人擔憂的方面之一是它能夠授予威脅行為者通過 VNC 隱藏訪問受害者設備的權限。此特定功能允許攻擊者在繞過用戶同意的情況下獲得對受感染設備的遠程訪問權限,從而使他們能夠在用戶不知情的情況下監視、操作和洩露敏感數據。隱藏的 VNC 訪問權限使 LOBSHOT 成為網絡犯罪分子手中強大而危險的工具,尤其是那些有經濟動機的人。

分配方式

據觀察,LOBSHOT 惡意軟件的分發方法涉及欺騙性策略,利用 Google Ads 和虛假網站來引誘毫無戒心的受害者。這些技術進一步證明了該惡意軟件背後的威脅行為者的複雜性和適應性,使得最終用戶在瀏覽和點擊廣告時更加謹慎。

通過 Google Ads 偽造網站

LOBSHOT 傳播的主要方式之一是使用通過 Google Ads 推廣的虛假網站。威脅行為者創建並維護這些旨在模仿合法網站和服務的假冒網站。通過利用 Google Ads 平台,對手可以向毫無戒心的用戶展示他們的惡意廣告,這些用戶可能會以為廣告是真實的而點擊廣告,從而導致在他們的設備上安裝 LOBSHOT 惡意軟件。

將用戶重定向到虛假的 AnyDesk 域

除了使用虛假網站外,LOBSHOT 惡意軟件的分發過程還涉及將用戶重定向到虛假的 AnyDesk 域。 AnyDesk 是一種流行的遠程桌面應用程序,許多企業和個人都依賴它來進行遠程訪問和支持。威脅行為者通過創建一個虛構的 AnyDesk 域來利用這種信任來欺騙用戶下載該軟件的惡意版本,這實際上是 LOBSHOT 惡意軟件。這種方法進一步突出了這些網絡犯罪分子用來誘捕受害者並執行其惡意活動的狡猾策略。

通過受損系統安裝

在某些情況下,LOBSHOT 惡意軟件可以通過受感染的系統安裝在受害者的設備上。如果用戶在不知不覺中訪問或從已被惡意軟件感染的網站下載內容,或者如果他們已成為魚叉式網絡釣魚活動的目標,則可能會發生這種情況。一旦惡意軟件成功滲入受害者的設備,它就可以向威脅參與者授予隱藏的 VNC 訪問權限,然後威脅參與者可以根據需要遠程控制和操縱系統。

LOBSHOT的能力

LOBSHOT 惡意軟件擁有一系列強大的功能,使其擅長滲透和利用用戶設備。該惡意軟件主要關注隱藏的虛擬網絡計算 (hVNC),允許攻擊者遠程控制受感染的設備並訪問其用戶界面。 LOBSHOT的核心能力包括:

隱藏虛擬網絡計算 (hVNC)

LOBSHOT 功能的核心是它能夠為受害者設備提供隱藏的 VNC 訪問。通過 hVNC,攻擊者可以在未經受害者同意或不知情的情況下以隱蔽的方式遠程控制設備。 hVNC 功能使 LOBSHOT 特別危險,因為它允許不良行為者在執行各種邪惡活動的同時在受感染的設備上保持隱秘存在。

設備的遠程控制

LOBSHOT 的 hVNC 功能使攻擊者能夠完全控制受感染的設備、執行命令、進行更改和訪問資源,就好像他們是合法用戶一樣。這種控制級別允許威脅行為者執行範圍廣泛的惡意活動,包括數據洩露、安裝額外的惡意軟件和開展間諜活動。遠程控制受害者設備的能力凸顯了 LOBSHOT 造成的重大威脅。

全圖形用戶界面 (GUI)

該惡意軟件還能夠訪問目標設備的完整圖形用戶界面 (GUI),這意味著攻擊者可以與設備的桌面環境進行視覺交互。此功能使威脅行為者更容易導航和操縱受感染的設備,從而為惡意軟件增加了另一層效率和控制。訪問完整的 GUI 使攻擊者能夠監視用戶活動、訪問敏感信息並執行歸因於合法用戶的操作,進一步強調了 LOBSHOT 的危害性。

緩解和擔憂

LOBSHOT 惡意軟件因其隱藏的 VNC 功能以及與 TA505 等出於經濟動機的威脅行為者的關聯而引起個人用戶和組織的極大關注。緩解和解決這些擔憂包括了解潛在風險並實施適當的防禦措施,以及呼籲對 Google Ads 等平台實施更嚴格的監管。

竊取銀行和財務信息

圍繞 LOBSHOT 的主要擔憂之一是它可能從受感染的設備中竊取銀行和財務信息。其隱藏的 VNC 訪問允許攻擊者滲透未被發現的設備、監控用戶活動並捕獲敏感數據,例如登錄憑據、帳號和交易詳細信息。此類信息可用於獲取經濟利益或用於進一步的攻擊,例如憑證填充或網絡釣魚活動。

呼籲對谷歌進行更嚴格的廣告監管

為了應對通過 Google Ads 傳播惡意軟件的威脅越來越大,一些研究人員和安全專家呼籲 Google 的控股公司 Alphabet 對廣告的批准實施更嚴格的規定。實施更強大的廣告篩選流程和驗證機制有助於最大限度地減少 LOBSHOT 等惡意軟件的傳播,並降低毫無戒心的用戶成為此類威脅受害者的風險。同時,最終用戶應通過驗證他們正在訪問的域和正在下載的軟件的合法性來採取預防措施。

加載中...