マルバタイジング キャンペーンで使用される LOBSHOT マルウェア

今年初め、Elastic Security Labs は研究コミュニティと協力して、マルバタイジングの使用が大幅に増加していることを検出しました。攻撃者は、Google 広告を介して偽の Web サイトを作成し、正規のインストーラと思われるものにバックドアを埋め込んでマルウェアを宣伝するという巧妙な戦略を利用しました。このスパイク中に観測されたマルウェア ファミリの中に LOBSHOT がありました。これは活動を続けており、それ自体に注意を向けることなく被害者を標的にし続けています。

LOBSHOT の重要な機能の 1 つは、感染したマシンへの直接かつ監視されないアクセスを可能にする hVNC (Hidden Virtual Network Computing) コンポーネントです。この機能は、不正検出システムを回避するのに非常に効果的であることが証明されており、プラグインとして一般的なマルウェア ファミリに組み込まれることがよくあります。

分析中、専門家は、Dridex、Locky、および Necurs キャンペーンを担当する悪名高いサイバー犯罪グループである TA505 に関連付けられていることが知られているインフラストラクチャを観察しました。また、LOBSHOT は、以前に LOBSHOT と同じドメインにリンクされていた Get2 として知られるローダーと類似点を共有していることも発見されました。これらの調査結果に基づいて、研究者は LOBSHOT が TA505 の新しい機能であり、2022 年から使用されていることをある程度確信しています。

LOBSHOT による感染は通常、ユーザーが正規のソフトウェア ダウンロードを検索することから始まります。しかし、Google 経由で宣伝された広告から違法なソフトウェアをダウンロードすることになります。最初のライブラリが読み込まれると、LOBSHOT は、コンピューター名が "HAL9TH" と一致し、ユーザー名が "JohnDoe" と一致するかどうかを確認することにより、Windows Defender でアンチエミュレーション チェックを実行します。

これらの値は Defender エミュレーション レイヤー内にハードコーディングされており、検出された場合、マルウェアはすぐに実行を停止します。このタイプの検証は、Arkei、Vidar、Oski などの他のスティーラーで採用されています。

マルバタイジングを使用してマルウェアを拡散するにはどうすればよいですか?

マルバタイジングは、オンライン広告を使用してマルウェアを拡散するサイバー攻撃の一種です。マルウェアは、悪意のあるソフトウェアの略で、コンピューター システムまたはネットワークに害を与えるように設計されたソフトウェアを指します。マルバタイジング攻撃者は、正当に見える広告を使用してユーザーをだましてクリックさせ、デバイスにマルウェアをインストールします。

マルバタイジングを使用してマルウェアを拡散する方法を次に示します。

• 脆弱性の悪用: マルバタイザーは、ユーザーのブラウザー、プラグイン、またはオペレーティング システムの脆弱性を悪用する悪意のあるコードを含む広告を作成できます。ユーザーが広告をクリックすると、コードが実行され、マルウェアがダウンロードされ、ユーザーのデバイスにインストールされます。
• ソーシャル エンジニアリング: マルバタイザーは、ソーシャル エンジニアリング戦術を使用して、ユーザーをだまして広告をクリックさせることができます。正規のソフトウェア アップデート、ウイルス対策スキャン、またはシステム メッセージを模倣した広告を作成できます。ユーザーが広告をクリックすると、偽の Web サイトに誘導され、マルウェアをダウンロードするように促されます。
• ドライブバイ ダウンロード: マルバタイザーは、ユーザーの認識や同意なしに、マルウェアをユーザーのデバイスに自動的にダウンロードする広告を作成できます。これらのドライブバイ ダウンロードは、多くの場合、ユーザーのブラウザーまたはオペレーティング システムの脆弱性を利用します。