Malware LOBSHOT utilizado en campaña de publicidad maliciosa

computer scam

A principios de este año, Elastic Security Labs, en colaboración con la comunidad de investigación, detectó un aumento significativo en el uso de publicidad maliciosa. Los atacantes utilizaron una estrategia sofisticada de crear sitios web falsos a través de Google Ads e incrustar puertas traseras en lo que parecían ser instaladores legítimos para promocionar su malware. Entre las familias de malware observadas durante este pico se encontraba LOBSHOT, que permanece activo y sigue atacando a las víctimas sin llamar la atención.

Una de las características clave de LOBSHOT es su componente hVNC (cómputo de red virtual oculta), que permite el acceso directo e inadvertido a las máquinas infectadas. Esta capacidad ha demostrado ser muy eficaz para eludir los sistemas de detección de fraude y, a menudo, se incorpora a las familias de malware populares como complementos.

Durante el análisis, los expertos observaron una infraestructura que se sabe que está asociada con TA505, un notorio grupo de ciberdelincuencia responsable de las campañas de Dridex, Locky y Necurs. También se descubrió que LOBSHOT comparte similitudes con un cargador conocido como Get2, que anteriormente se había vinculado a los mismos dominios que LOBSHOT. Con base en estos hallazgos, los investigadores creen con confianza moderada que LOBSHOT es una nueva capacidad de TA505 y ha estado en uso desde 2022.

Las infecciones causadas por LOBSHOT generalmente comienzan cuando los usuarios buscan descargas de software legítimas. Sin embargo, terminan descargando software ilegítimo de anuncios promocionados a través de Google. Una vez que se cargan las bibliotecas iniciales, LOBSHOT realiza una verificación antiemulación en Windows Defender al verificar si el nombre de la computadora coincide con "HAL9TH" y el nombre de usuario coincide con "JohnDoe".

Estos valores están codificados dentro de la capa de emulación de Defender y, si se detecta, el malware deja de ejecutarse inmediatamente. Este tipo de verificación se ha empleado en otros ladrones como Arkei, Vidar y Oski.

¿Cómo se puede utilizar Malvertising para propagar malware?

La publicidad maliciosa es un tipo de ataque cibernético que involucra el uso de anuncios en línea para propagar malware. Malware, abreviatura de software malicioso, se refiere a cualquier software diseñado para dañar un sistema informático o una red. Los atacantes de publicidad maliciosa usan anuncios que parecen legítimos para engañar a los usuarios para que hagan clic en ellos, lo que luego conduce a la instalación de malware en sus dispositivos.

Aquí hay algunas formas en que se puede usar la publicidad maliciosa para propagar malware:

  • Explotación de vulnerabilidades: los malvertisers pueden crear anuncios que contienen código malicioso que explota vulnerabilidades en el navegador, los complementos o el sistema operativo del usuario. Cuando un usuario hace clic en el anuncio, el código se ejecuta, descarga e instala malware en el dispositivo del usuario.
  • Ingeniería social: los malvertisers pueden usar tácticas de ingeniería social para engañar a los usuarios para que hagan clic en los anuncios. Pueden crear anuncios que imitan actualizaciones de software legítimas, análisis antivirus o mensajes del sistema. Cuando el usuario hace clic en el anuncio, se le dirige a un sitio web falso que le pide que descargue malware.
  • Descargas ocultas: los malvertisers pueden crear anuncios que descargan automáticamente malware en el dispositivo del usuario sin el conocimiento o consentimiento del usuario. Estas descargas ocultas a menudo se aprovechan de las vulnerabilidades del navegador o del sistema operativo del usuario.

May 2, 2023
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.