LOBSHOT 惡意軟件

已發現一種名為 LOBSHOT 的新惡意軟件威脅通過 Google Ads 傳播，並且能夠使用 hVNC 感染 Windows 設備。網絡安全研究人員觀察到該惡意軟件通過看似合法的 AnyDesk 遠程管理軟件的廣告進行推廣。然而，惡意廣告反而會將用戶引導至虛假網站。此頁面“amydeecke.website”推送一個惡意 MSI 文件，該文件依次執行 PowerShell 命令。目標是從 download-cdn[.]com 下載 DLL，該域以前與 TA505/Clop 勒索軟件組的網絡犯罪活動有關。

下載的DLL文件是LOBSHOT惡意軟件，保存在C:\ProgramData文件夾中，由RunDLL32.exe執行。根據一份披露 LOBSHOT 詳細信息的報告，自 2022 年 7 月以來，研究人員已經觀察到 500 多個獨特的 LOBSHOT 樣本。識別出的樣本通常被編譯為 32 位 DLL 或 32 位可執行文件，大小在 93 KB 到 124 KB 之間。在被破壞的設備上執行後，LOBSHOT 會檢查 Microsoft Defender 是否正在運行，如果檢測到則終止其執行。

網絡罪犯利用谷歌廣告傳播惡意軟件威脅

網絡安全專家觀察到威脅行為者使用 Google 廣告通過搜索結果傳播惡意軟件的情況大幅增加。惡意廣告活動涉及模仿各種網站和合法軟件產品，例如 7-ZIP、VLC、OBS、Notepad++、CCleaner、TradingView、Rufus 和其他幾個應用程序。

儘管廣告給人以合法性的印象，但它們重定向到的網站實際上旨在傳播惡意軟件，包括Gozi 、 RedLine 、 Vidar 、 Cobalt Strike 、SectoRAT 和Royal Ransomware ，而不是提供正版應用程序。

LOBSHOT 惡意軟件以加密貨幣擴展和錢包為目標

如果 LOBSHOT 沒有發現 Microsoft Defender 存在的跡象，它將繼續進行威脅編程。該威脅將自動配置註冊表條目以確保它在每次 Windows 啟動時啟動。 LOBSHOT 然後將收集並開始傳輸來自受感染設備的系統信息，包括所有正在運行的進程。此外，該惡意軟件還會尋找 32 個 Chrome 加密貨幣錢包擴展、9 個 Edge 錢包擴展和 11 個 Firefox 錢包擴展。

檢測到這些擴展後，惡意軟件會執行 C:\ProgramData 文件夾中的文件。然而，研究人員不確定該文件的目的是提取擴展數據還是其他一些有害行為。

儘管收集加密貨幣擴展是惡意軟件的共同目標，但 LOBSHOT 惡意軟件還在其結構中包含一個 hVNC 模塊。該模塊使威脅行為者能夠謹慎地遠程訪問受感染的設備。

LOBSHOT 惡意軟件提供對被入侵設備的遠程訪問

hVNC（隱藏虛擬網絡計算）模塊使在受害者不知情的情況下遠程控制 Windows 台式計算機成為可能。

名為 LOBSHOT 的惡意軟件包含一個 hVNC 模塊，該模塊使威脅行為者能夠使用鍵盤和鼠標操縱隱藏的桌面，就好像他們實際出現在桌面前面一樣。

一旦模塊被激活，受害者的機器就會開始將隱藏桌面的屏幕截圖傳輸到由攻擊者控制的監聽客戶端。攻擊者可以通過操縱鍵盤、單擊按鈕和移動鼠標與客戶端進行交互，從而使他們能夠完全遠程控制設備。

通過 hVNC 授予的完全訪問權限，威脅參與者可以執行各種活動，例如執行命令、竊取數據和部署其他惡意軟件有效負載。