Κακόβουλο λογισμικό LOBSHOT που χρησιμοποιείται σε καμπάνια κακόβουλης διαφήμισης

computer scam

Νωρίτερα φέτος, η Elastic Security Labs, σε συνεργασία με την ερευνητική κοινότητα, εντόπισε σημαντική αύξηση στη χρήση κακόβουλης διαφήμισης. Οι επιτιθέμενοι χρησιμοποίησαν μια εξελιγμένη στρατηγική δημιουργίας ψεύτικων ιστότοπων μέσω του Google Ads και ενσωμάτωσης κερκόπορτων σε κάτι που φαινόταν ως νόμιμο πρόγραμμα εγκατάστασης για την προώθηση του κακόβουλου λογισμικού τους. Μεταξύ των οικογενειών κακόβουλου λογισμικού που παρατηρήθηκαν κατά τη διάρκεια αυτής της αιχμής ήταν το LOBSHOT, το οποίο παραμένει ενεργό και συνεχίζει να στοχεύει θύματα χωρίς να τραβάει την προσοχή.

Ένα από τα βασικά χαρακτηριστικά του LOBSHOT είναι το στοιχείο hVNC (Hidden Virtual Network Computing), το οποίο επιτρέπει την άμεση και απαρατήρητη πρόσβαση σε μολυσμένα μηχανήματα. Αυτή η δυνατότητα έχει αποδειχθεί εξαιρετικά αποτελεσματική στην παράκαμψη συστημάτων ανίχνευσης απάτης και συχνά ενσωματώνεται σε δημοφιλείς οικογένειες κακόβουλου λογισμικού ως πρόσθετα.

Κατά τη διάρκεια της ανάλυσης, οι ειδικοί παρατήρησαν υποδομές που είναι γνωστό ότι σχετίζονται με την TA505, μια διαβόητη ομάδα εγκλήματος στον κυβερνοχώρο που είναι υπεύθυνη για τις καμπάνιες Dridex, Locky και Necurs. Ανακαλύφθηκε επίσης ότι το LOBSHOT μοιράζεται ομοιότητες με έναν φορτωτή γνωστό ως Get2, ο οποίος είχε προηγουμένως συνδεθεί με τους ίδιους τομείς με το LOBSHOT. Με βάση αυτά τα ευρήματα, οι ερευνητές πιστεύουν με μέτρια σιγουριά ότι το LOBSHOT είναι μια νέα ικανότητα του TA505 και χρησιμοποιείται από το 2022.

Οι λοιμώξεις που προκαλούνται από το LOBSHOT συνήθως ξεκινούν με τους χρήστες που αναζητούν νόμιμες λήψεις λογισμικού. Ωστόσο, καταλήγουν να κατεβάζουν παράνομο λογισμικό από διαφημίσεις που προωθούνται μέσω της Google. Μόλις φορτωθούν οι αρχικές βιβλιοθήκες, το LOBSHOT εκτελεί έναν έλεγχο κατά της εξομοίωσης στο Windows Defender, επαληθεύοντας εάν το όνομα του υπολογιστή ταιριάζει με το "HAL9TH" και το όνομα χρήστη αντιστοιχεί στο "JohnDoe".

Αυτές οι τιμές κωδικοποιούνται σκληρά στο επίπεδο εξομοίωσης Defender και, εάν εντοπιστούν, το κακόβουλο λογισμικό σταματά να εκτελείται αμέσως. Αυτός ο τύπος επαλήθευσης έχει χρησιμοποιηθεί σε άλλους κλέφτες όπως οι Arkei, Vidar και Oski.

Πώς μπορεί να χρησιμοποιηθεί το κακόβουλο λογισμικό για τη διάδοση κακόβουλου λογισμικού;

Η κακόβουλη διαφήμιση είναι ένας τύπος κυβερνοεπίθεσης που περιλαμβάνει τη χρήση διαδικτυακών διαφημίσεων για τη διάδοση κακόβουλου λογισμικού. Το κακόβουλο λογισμικό, συντομογραφία του κακόβουλου λογισμικού, αναφέρεται σε οποιοδήποτε λογισμικό που έχει σχεδιαστεί για να βλάψει ένα σύστημα υπολογιστή ή ένα δίκτυο. Οι εισβολείς κακόβουλης διαφήμισης χρησιμοποιούν διαφημίσεις με νόμιμη εμφάνιση για να εξαπατήσουν τους χρήστες να κάνουν κλικ πάνω τους, κάτι που στη συνέχεια οδηγεί στην εγκατάσταση κακόβουλου λογισμικού στις συσκευές τους.

Ακολουθούν ορισμένοι τρόποι με τους οποίους η κακόβουλη διαφήμιση μπορεί να χρησιμοποιηθεί για τη διάδοση κακόβουλου λογισμικού:

  • Εκμετάλλευση τρωτών σημείων: Οι κακόβουλοι διαφημιστές μπορούν να δημιουργήσουν διαφημίσεις που περιέχουν κακόβουλο κώδικα που εκμεταλλεύεται ευπάθειες στο πρόγραμμα περιήγησης, τις προσθήκες ή το λειτουργικό σύστημα του χρήστη. Όταν ένας χρήστης κάνει κλικ στη διαφήμιση, ο κώδικας εκτελείται και κατεβάζει και εγκαθιστά κακόβουλο λογισμικό στη συσκευή του χρήστη.
  • Κοινωνική μηχανική: Οι κακόβουλοι διαφημιστές μπορούν να χρησιμοποιήσουν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να κάνουν κλικ σε διαφημίσεις. Μπορούν να δημιουργήσουν διαφημίσεις που μιμούνται νόμιμες ενημερώσεις λογισμικού, σαρώσεις προστασίας από ιούς ή μηνύματα συστήματος. Όταν ο χρήστης κάνει κλικ στη διαφήμιση, κατευθύνεται σε έναν ψεύτικο ιστότοπο που τον προτρέπει να κατεβάσει κακόβουλο λογισμικό.
  • Λήψεις Drive-by: Οι διαφημιστές μπορούν να δημιουργήσουν διαφημίσεις που κατεβάζουν αυτόματα κακόβουλο λογισμικό στη συσκευή του χρήστη χωρίς τη γνώση ή τη συναίνεση του χρήστη. Αυτές οι λήψεις μέσω οδηγού συχνά εκμεταλλεύονται ευπάθειες στο πρόγραμμα περιήγησης ή στο λειτουργικό σύστημα του χρήστη.

May 2, 2023
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.