Το νέο κακόβουλο λογισμικό LOBsHOT παρέχει στους χάκερ κρυφή πρόσβαση VNC σε συσκευές Windows.
Δείτε επίσης: Tonto Team: Εξαπολύει επιθέσεις σε ιδρύματα της Νότιας Κορέας
Ένας νέος τύπος κακόβουλου λογισμικού με την ονομασία “LOBSHOT”, ο οποίος διανέμεται μέσω διαφημίσεων της Google, επιτρέπει στους απειλητικούς φορείς να καταλαμβάνουν κρυφά μολυσμένες συσκευές Windows χρησιμοποιώντας το hVNC.
Νωρίτερα φέτος, το BleepingComputer και πολλοί ερευνητές κυβερνοασφάλειας ανέφεραν μια δραματική αύξηση του αριθμού των απειλών που χρησιμοποιούν διαφημίσεις της Google για τη διανομή κακόβουλου λογισμικού στα αποτελέσματα αναζήτησης.
Αυτές οι διαφημιστικές καμπάνιες παρίσταναν τους ιστότοπους των 7-Zip, VLC, OBS, Notepad ++, CCleaner, TradingView, Rufus και πολλών άλλων εφαρμογών.
Ωστόσο, αυτές οι τοποθεσίες προωθούσαν κακόβουλο λογισμικό αντί να διανέμουν νόμιμες εφαρμογές, συμπεριλαμβανομένων των Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT και Royal Ransomware.
Δείτε επίσης: Επίθεση ransomware επηρεάζει τις υπηρεσίες της κομητείας Spartanburg
Το LOBSHOT διανέμεται μέσω των Google ads
Σε μια νέα έκθεση της Elastic Security Labs, οι ερευνητές αποκάλυψαν ότι ένα νέο Trojan απομακρυσμένης πρόσβασης, με την ονομασία “LOBsHOT”, διανέμεται μέσω διαφημίσεων της Google.
Αυτές οι διαφημίσεις προωθούσαν το νόμιμο λογισμικό απομακρυσμένης διαχείρισης AnyDesk, αλλά οδηγούσαν σε έναν ψεύτικο ιστότοπο AnyDesk στη διεύθυνση amydeecke.website.
Αυτός ο ιστότοπος προώθησε ένα κακόβουλο αρχείο MSI που εκτελούσε μια εντολή PowerShell για τη λήψη ενός DLL από το download-cdn.com, ένα domain που ιστορικά σχετίζεται με τη συμμορία TA505/Clop ransomware.
Ωστόσο, ο ερευνητής απειλών της Proofpoint, Tommy Madjar, δήλωσε προηγουμένως στο BleepingComputer ότι αυτό το domain είχε αλλάξει ιδιοκτήτη στο παρελθόν- επομένως, δεν είναι σαφές αν η ομάδα TA505 το χρησιμοποιεί ακόμα.
Το αρχείο DLL που κατέβηκε είναι το LOBSHOT malware και θα αποθηκευτεί στο φάκελο C:\ProgramData και στη συνέχεια θα εκτελεστεί από το RunDLL32.exe.
Μόλις εκτελεστεί, το malware θα ελέγξει αν εκτελείται το Microsoft Defender και, αν εντοπιστεί, θα τερματίσει την εκτέλεση για να αποτρέψει την ανίχνευση.
Ωστόσο, εάν το Defender δεν εντοπιστεί, το κακόβουλο λογισμικό θα ρυθμίσει τις καταχωρήσεις μητρώου ώστε να ξεκινά αυτόματα κατά τη σύνδεση στα Windows και στη συνέχεια θα μεταδίδει πληροφορίες συστήματος από τη μολυσμένη συσκευή, συμπεριλαμβανομένων των διεργασιών που εκτελούνται.
Το malware θα ελέγξει επίσης για 32 επεκτάσεις Chrome cryptocurrency wallet, εννέα επεκτάσεις πορτοφολιών Edge και 11 επεκτάσεις πορτοφολιών Firefox.
Μετά την απαρίθμηση των επεκτάσεων, το κακόβουλο λογισμικό θα εκτελέσει ένα αρχείο στο C:\ProgramData. Ωστόσο, καθώς το αρχείο αυτό δεν υπήρχε στην ανάλυσή τους, η Elastic δεν είναι σίγουρη αν χρησιμοποιείται για την κλοπή των δεδομένων των επεκτάσεων ή για κάποιον άλλο σκοπό.
Ενώ η κλοπή επεκτάσεων κρυπτονομισμάτων είναι συνηθισμένη, η Elastic διαπίστωσε επίσης ότι το κακόβουλο λογισμικό περιλάμβανε μια ενότητα hVNC, επιτρέποντας στους απειλητικούς φορείς να έχουν αθόρυβη πρόσβαση σε μια μολυσμένη συσκευή από απόσταση.
Δείτε επίσης: T-Mobile: Νέα παραβίαση δεδομένων επηρεάζει πολλούς πελάτες
Ελέγχει κρυφά τις συσκευές του θύματος
Το hVNC, ή Hidden Virtual Network Computing, είναι ένα λογισμικό απομακρυσμένης πρόσβασης VNC που έχει τροποποιηθεί για να ελέγχει ένα κρυφό desktop στη μολυσμένη συσκευή, αντί για το κύριο desktop που χρησιμοποιεί ο ιδιοκτήτης της συσκευής.
Αυτό επιτρέπει σε έναν απειλητικό παράγοντα να ελέγχει εξ αποστάσεως ένα desktop με Windows χωρίς το θύμα να γνωρίζει ότι αυτό συμβαίνει.
Η Elastic δηλώνει ότι το LOBSHOT αναπτύσσει ένα hVNC module, το οποίο επιτρέπει στους απειλητικούς φορείς να ελέγχουν το κρυφό desktop με το ποντίκι και το πληκτρολόγιό τους σαν να ήταν φυσικά παρόντες.
Χρησιμοποιώντας το VNC, οι απειλητικοί φορείς έχουν πλήρη έλεγχο της συσκευής, επιτρέποντάς τους να εκτελούν εντολές, να κλέβουν δεδομένα, ακόμη και να αναπτύσσουν περαιτέρω ωφέλιμα φορτία κακόβουλου λογισμικού.
Καθώς το AnyDesk χρησιμοποιείται συνήθως σε επιχειρηματικά περιβάλλοντα, είναι πιθανό ότι το κακόβουλο λογισμικό χρησιμοποιείται για αρχική πρόσβαση σε εταιρικά δίκτυα και για να εξαπλωθεί πλευρικά σε άλλες συσκευές.
Αυτός ο τύπος πρόσβασης θα μπορούσε να οδηγήσει σε επιθέσεις ransomware, εκβιασμό δεδομένων και άλλες τέτοιες επιθέσεις.
Πηγή πληροφοριών: bleepingcomputer.com
