LOBSHOT Malware utilizzato nella campagna di malvertising

computer scam

All'inizio di quest'anno, Elastic Security Labs, in collaborazione con la comunità di ricerca, ha rilevato un aumento significativo nell'uso del malvertising. Gli aggressori hanno utilizzato una strategia sofisticata per creare siti Web fasulli tramite Google Ads e incorporare backdoor in quelli che sembravano essere programmi di installazione legittimi per promuovere il loro malware. Tra le famiglie di malware osservate durante questo picco c'era LOBSHOT, che rimane attivo e continua a prendere di mira le vittime senza attirare l'attenzione su di sé.

Una delle caratteristiche principali di LOBSHOT è il suo componente hVNC (Hidden Virtual Network Computing), che consente l'accesso diretto e inosservato alle macchine infette. Questa capacità si è dimostrata molto efficace nel bypassare i sistemi di rilevamento delle frodi ed è spesso incorporata nelle famiglie di malware più diffuse come plug-in.

Durante l'analisi, gli esperti hanno osservato un'infrastruttura nota per essere associata a TA505, un famigerato gruppo criminale informatico responsabile delle campagne Dridex, Locky e Necurs. È stato anche scoperto che LOBSHOT condivide somiglianze con un caricatore noto come Get2, che è stato precedentemente collegato agli stessi domini di LOBSHOT. Sulla base di questi risultati, i ricercatori ritengono con moderata fiducia che LOBSHOT sia una nuova funzionalità di TA505 ed è in uso dal 2022.

Le infezioni causate da LOBSHOT in genere iniziano con gli utenti che cercano download di software legittimi. Tuttavia, finiscono per scaricare software illegittimo da annunci promossi tramite Google. Una volta caricate le librerie iniziali, LOBSHOT esegue un controllo anti-emulazione su Windows Defender verificando se il nome del computer corrisponde a "HAL9TH" e il nome utente corrisponde a "JohnDoe".

Questi valori sono hardcoded all'interno del livello di emulazione di Defender e, se rilevati, il malware interrompe immediatamente l'esecuzione. Questo tipo di verifica è stato impiegato in altri stealer come Arkei, Vidar e Oski.

In che modo il malvertising può essere utilizzato per diffondere malware?

Il malvertising è un tipo di attacco informatico che prevede l'utilizzo di pubblicità online per diffondere malware. Malware, abbreviazione di software dannoso, si riferisce a qualsiasi software progettato per danneggiare un sistema informatico o una rete. Gli aggressori di malvertising utilizzano annunci dall'aspetto legittimo per indurre gli utenti a fare clic su di essi, il che porta quindi all'installazione di malware sui loro dispositivi.

Ecco alcuni modi in cui il malvertising può essere utilizzato per diffondere malware:

  • Sfruttamento delle vulnerabilità: i malvertiser possono creare annunci che contengono codice dannoso che sfrutta le vulnerabilità nel browser, nei plug-in o nel sistema operativo dell'utente. Quando un utente fa clic sull'annuncio, il codice viene eseguito e scarica e installa malware sul dispositivo dell'utente.
  • Ingegneria sociale: i malvertiser possono utilizzare tattiche di ingegneria sociale per indurre gli utenti a fare clic sugli annunci. Possono creare annunci che imitano aggiornamenti software legittimi, scansioni antivirus o messaggi di sistema. Quando l'utente fa clic sull'annuncio, viene indirizzato a un sito Web falso che richiede di scaricare malware.
  • Download drive-by: i malvertiser possono creare annunci che scaricano automaticamente malware sul dispositivo dell'utente all'insaputa o all'insaputa dell'utente. Questi download drive-by spesso sfruttano le vulnerabilità nel browser o nel sistema operativo dell'utente.

May 2, 2023
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.