LOBSHOT kenkėjiška programa, naudojama kenkėjiškų reklamų kampanijoje

Šių metų pradžioje Elastic Security Labs, bendradarbiaudama su mokslinių tyrimų bendruomene, aptiko reikšmingą piktnaudžiavimo naudojimo padidėjimą. Užpuolikai naudojo sudėtingą strategiją, kurdami netikras svetaines naudodami „Google Ads“ ir įterpdami užpakalines duris į tuos, kurie atrodė teisėti diegėjai, reklamuodami savo kenkėjiškas programas. Tarp kenkėjiškų programų šeimų, pastebėtų per šį šuolį, buvo LOBSHOT, kuri išlieka aktyvi ir toliau taikosi į aukas, neatkreipdama į save dėmesio.

Viena iš pagrindinių LOBSHOT savybių yra hVNC (paslėpto virtualaus tinklo skaičiavimo) komponentas, leidžiantis tiesiogiai ir nepastebimai pasiekti užkrėstus įrenginius. Ši galimybė pasirodė esanti labai veiksminga apeinant sukčiavimo aptikimo sistemas ir dažnai įtraukiama į populiarias kenkėjiškų programų šeimas kaip papildiniai.

Analizės metu ekspertai stebėjo infrastruktūrą, kuri, kaip žinoma, yra susijusi su TA505 – liūdnai pagarsėjusia elektroninių nusikaltimų grupe, atsakinga už „Dridex“, „Locky“ ir „Necurs“ kampanijas. Taip pat buvo nustatyta, kad LOBSHOT turi panašumų su įkrovikliu, žinomu kaip Get2, kuris anksčiau buvo susietas su tais pačiais domenais kaip ir LOBSHOT. Remdamiesi šiomis išvadomis, mokslininkai su saiku įsitikinę, kad LOBSHOT yra nauja TA505 galimybė ir naudojama nuo 2022 m.

LOBSHOT sukeltos infekcijos paprastai prasideda vartotojams ieškant teisėtų programinės įrangos atsisiuntimų. Tačiau jie galiausiai atsisiunčia neteisėtos programinės įrangos iš reklamuojamų skelbimų per „Google“. Įkėlus pradines bibliotekas, LOBSHOT atlieka antiemuliacijos patikrinimą sistemoje „Windows Defender“, patikrindama, ar kompiuterio pavadinimas atitinka „HAL9TH“, o vartotojo vardas – „JohnDoe“.

Šios reikšmės yra sunkiai užkoduotos Defender emuliacijos sluoksnyje ir, jei aptinkama, kenkėjiška programa nedelsiant nustoja veikti. Šio tipo tikrinimas buvo naudojamas kituose vagystėse, pvz., Arkei, Vidar ir Oski.

Kaip kenkėjišką reklamą galima panaudoti kenkėjiškoms programoms platinti?

Malvertising yra tam tikra kibernetinė ataka, apimanti internetinių skelbimų naudojimą kenkėjiškoms programoms platinti. Kenkėjiška programinė įranga – kenkėjiška programinė įranga – tai bet kokia programinė įranga, skirta pakenkti kompiuterių sistemai arba tinklui. Kenkėjiški užpuolikai naudoja teisėtai atrodančius skelbimus, kad apgaudinėja vartotojus, kad jie juos spustelėtų, o tai vėliau jų įrenginiuose diegiama kenkėjiška programa.

Štai keletas būdų, kaip kenkėjiškas reklamavimas gali būti naudojamas kenkėjiškoms programoms platinti:

• Pažeidžiamumų išnaudojimas: kenkėjiškų programų kūrėjai gali kurti skelbimus, kuriuose yra kenkėjiško kodo, kuris išnaudoja vartotojo naršyklės, papildinių ar operacinės sistemos spragas. Kai vartotojas spusteli skelbimą, kodas paleidžiamas ir atsisiunčiama bei įdiegiama kenkėjiška programa naudotojo įrenginyje.
• Socialinė inžinerija: piktavališkiai gali naudoti socialinės inžinerijos taktiką, kad išviliotų naudotojus spustelėdami skelbimus. Jie gali kurti skelbimus, imituojančius teisėtus programinės įrangos naujinius, antivirusinius nuskaitymus ar sistemos pranešimus. Kai vartotojas spustelėja skelbimą, jis nukreipiamas į netikrą svetainę, kurioje raginama atsisiųsti kenkėjišką programą.
• Greitai vykdomi atsisiuntimai: kenkėjiškų programų kūrėjai gali kurti skelbimus, kurie automatiškai atsisiunčia kenkėjišką programą į naudotojo įrenginį be vartotojo žinios ar sutikimo. Šie greitai atsisiunčiami failai dažnai naudojasi vartotojo naršyklės ar operacinės sistemos pažeidžiamumu.