LOBSHOT-Malware, die in einer Malvertising-Kampagne verwendet wird

Anfang dieses Jahres haben Elastic Security Labs in Zusammenarbeit mit der Forschungsgemeinschaft einen deutlichen Anstieg der Nutzung von Malvertising festgestellt. Angreifer nutzten eine ausgeklügelte Strategie, gefälschte Websites über Google Ads zu erstellen und Hintertüren in scheinbar legitime Installationsprogramme einzubetten, um ihre Malware zu bewerben. Zu den Malware-Familien, die während dieses Anstiegs beobachtet wurden, gehörte LOBSHOT, das aktiv bleibt und weiterhin auf Opfer abzielt, ohne auf sich aufmerksam zu machen.

Eines der Hauptmerkmale von LOBSHOT ist die Komponente hVNC (Hidden Virtual Network Computing), die einen direkten und unbeobachteten Zugriff auf infizierte Maschinen ermöglicht. Diese Funktion hat sich als äußerst effektiv bei der Umgehung von Betrugserkennungssystemen erwiesen und wird häufig als Plugins in beliebte Malware-Familien integriert.

Während der Analyse beobachteten Experten eine Infrastruktur, die bekanntermaßen mit TA505 in Verbindung gebracht wird, einer berüchtigten Cyberkriminalitätsgruppe, die für die Kampagnen von Dridex, Locky und Necurs verantwortlich ist. Es wurde auch entdeckt, dass LOBSHOT Ähnlichkeiten mit einem Loader namens Get2 aufweist, der zuvor mit denselben Domänen wie LOBSHOT verknüpft wurde. Basierend auf diesen Ergebnissen glauben die Forscher mit mäßiger Zuversicht, dass LOBSHOT eine neue Fähigkeit von TA505 ist und seit 2022 im Einsatz ist.

Durch LOBSHOT verursachte Infektionen beginnen normalerweise damit, dass Benutzer nach legitimen Software-Downloads suchen. Am Ende laden sie jedoch illegale Software aus beworbenen Anzeigen über Google herunter. Sobald die anfänglichen Bibliotheken geladen sind, führt LOBSHOT eine Anti-Emulationsprüfung auf Windows Defender durch, indem überprüft wird, ob der Computername mit „HAL9TH“ und der Benutzername mit „JohnDoe“ übereinstimmt.

Diese Werte sind in der Defender-Emulationsschicht fest codiert, und wenn sie erkannt werden, stoppt die Malware sofort die Ausführung. Diese Art der Verifizierung wurde bei anderen Stealern wie Arkei, Vidar und Oski eingesetzt.

Wie kann Malvertising zur Verbreitung von Malware verwendet werden?

Malvertising ist eine Art von Cyberangriff, bei dem Online-Werbung zur Verbreitung von Malware verwendet wird. Malware, kurz für bösartige Software, bezieht sich auf jede Software, die darauf ausgelegt ist, einem Computersystem oder Netzwerk zu schaden. Malvertising-Angreifer verwenden legitim aussehende Anzeigen, um Benutzer dazu zu verleiten, darauf zu klicken, was dann zur Installation von Malware auf ihren Geräten führt.

Hier sind einige Möglichkeiten, wie Malvertising zur Verbreitung von Malware verwendet werden kann:

• Ausnutzen von Schwachstellen: Malvertiser können Anzeigen erstellen, die schädlichen Code enthalten, der Schwachstellen im Browser, in Plugins oder im Betriebssystem des Benutzers ausnutzt. Wenn ein Nutzer auf die Anzeige klickt, wird der Code ausgeführt und Malware auf das Gerät des Nutzers heruntergeladen und installiert.
• Social Engineering: Malvertiser können Social-Engineering-Taktiken verwenden, um Benutzer dazu zu bringen, auf Anzeigen zu klicken. Sie können Anzeigen erstellen, die legitime Software-Updates, Antivirus-Scans oder Systemmeldungen imitieren. Wenn der Benutzer auf die Anzeige klickt, wird er auf eine gefälschte Website geleitet, die ihn zum Herunterladen von Malware auffordert.
• Drive-by-Downloads: Malvertiser können Anzeigen erstellen, die ohne Wissen oder Zustimmung des Benutzers automatisch Malware auf das Gerät des Benutzers herunterladen. Diese Drive-by-Downloads nutzen häufig Schwachstellen im Browser oder Betriebssystem des Benutzers aus.