LOBSHOT Rosszindulatú program a rosszindulatú kampányban

Az év elején az Elastic Security Labs a kutatói közösséggel együttműködve jelentős növekedést észlelt a rosszindulatú hirdetések használatában. A támadók kifinomult stratégiát alkalmaztak: hamis webhelyeket hoztak létre a Google Ads szolgáltatáson keresztül, és hátsó ajtókat ágyaztak be a legálisnak tűnő telepítőkbe, hogy népszerűsítsék rosszindulatú programjaikat. A kiugrás során megfigyelt rosszindulatú programcsaládok között volt a LOBSHOT, amely továbbra is aktív, és továbbra is az áldozatokat célozza meg anélkül, hogy felhívná magára a figyelmet.

A LOBSHOT egyik legfontosabb jellemzője a hVNC (Hidden Virtual Network Computing) komponens, amely közvetlen és észrevétlen hozzáférést tesz lehetővé a fertőzött gépekhez. Ez a képesség rendkívül hatékonynak bizonyult a csalásészlelő rendszerek megkerülésében, és gyakran beépítik a népszerű rosszindulatú programcsaládokba bővítményként.

Az elemzés során a szakértők olyan infrastruktúrát figyeltek meg, amelyről ismert, hogy a TA505-höz, a Dridex, Locky és Necurs kampányokért felelős hírhedt kiberbűnözési csoporthoz kapcsolódnak. Azt is felfedezték, hogy a LOBSHOT hasonlóságokat mutat a Get2 néven ismert betöltővel, amely korábban ugyanazokhoz a tartományokhoz volt kapcsolva, mint a LOBSHOT. Ezen eredmények alapján a kutatók mérsékelt bizalommal gondolják, hogy a LOBSHOT a TA505 új képessége, és 2022 óta használják.

A LOBSHOT által okozott fertőzések általában akkor kezdődnek, amikor a felhasználók jogszerű szoftverletöltést keresnek. A végén azonban illegitim szoftvert töltenek le a Google-n keresztül hirdetett hirdetésekből. A kezdeti könyvtárak betöltése után a LOBSHOT anti-emuláció-ellenőrzést hajt végre a Windows Defenderen, ellenőrizve, hogy a számítógépnév megegyezik-e a „HAL9TH”-vel, a felhasználónév pedig a „JohnDoe”-val.

Ezek az értékek a Defender emulációs rétegen belül vannak kódolva, és ha észlelik, a rosszindulatú program azonnal leáll. Ezt a fajta ellenőrzést más lopóknál is alkalmazták, mint például az Arkei, a Vidar és az Oski.

Hogyan használhatók fel a rosszindulatú programok rosszindulatú programok terjesztésére?

A rosszindulatú támadás a kibertámadások egyik fajtája, amely magában foglalja az online hirdetések felhasználását rosszindulatú programok terjesztésére. A rosszindulatú szoftverek (rosszindulatú szoftverek) rövidítése minden olyan szoftverre utal, amelyet arra terveztek, hogy kárt tegyen egy számítógépes rendszerben vagy hálózatban. A rosszindulatú támadók jogos megjelenésű hirdetéseket használnak, hogy rávegyék a felhasználókat, hogy rájuk kattintsanak, ami aztán rosszindulatú programok telepítéséhez vezet az eszközeiken.

Íme néhány módja a rosszindulatú hirdetések terjesztésének:

• Sebezhetőségek kihasználása: A rosszindulatú hirdetők olyan hirdetéseket hozhatnak létre, amelyek rosszindulatú kódot tartalmaznak, amely kihasználja a felhasználó böngészőjének, bővítményeinek vagy operációs rendszerének sebezhetőségét. Amikor a felhasználó a hirdetésre kattint, a kód lefut, és letölti és telepíti a rosszindulatú programot a felhasználó eszközére.
• Társadalmi manipuláció: A rosszindulatú hirdetők social engineering taktikákat alkalmazhatnak, hogy rávegyék a felhasználókat a hirdetésekre való kattintásra. Olyan hirdetéseket hozhatnak létre, amelyek jogos szoftverfrissítéseket, víruskeresőket vagy rendszerüzeneteket utánoznak. Amikor a felhasználó a hirdetésre kattint, egy hamis webhelyre irányítja, amely rosszindulatú program letöltésére kéri.
• Drive-by letöltések: A rosszindulatú hirdetők olyan hirdetéseket hozhatnak létre, amelyek automatikusan letöltik a rosszindulatú programokat a felhasználó készülékére a felhasználó tudta vagy beleegyezése nélkül. Ezek a gyorsletöltések gyakran kihasználják a felhasználó böngészőjének vagy operációs rendszerének biztonsági réseit.