LOBSHOT skadelig programvare brukt i malvertising-kampanje

computer scam

Tidligere i år oppdaget Elastic Security Labs, i samarbeid med forskningsmiljøet, en betydelig økning i bruken av malvertising. Angripere brukte en sofistikert strategi for å lage falske nettsteder via Google Ads og bygge inn bakdører i det som så ut til å være legitime installatører for å markedsføre skadevare. Blant skadevarefamiliene som ble observert under denne stigningen var LOBSHOT, som forblir aktiv og fortsetter å målrette mot ofre uten å trekke oppmerksomhet til seg selv.

En av LOBSHOTs nøkkelfunksjoner er hVNC-komponenten (Hidden Virtual Network Computing), som muliggjør direkte og uobservert tilgang til infiserte maskiner. Denne muligheten har vist seg å være svært effektiv for å omgå svindeldeteksjonssystemer og er ofte innlemmet i populære malware-familier som plugins.

Under analysen observerte eksperter infrastruktur som er kjent for å være assosiert med TA505, en beryktet cyberkriminalitetsgruppe som er ansvarlig for Dridex-, Locky- og Necurs-kampanjer. Det ble også oppdaget at LOBSHOT deler likheter med en laster kjent som Get2, som tidligere har vært knyttet til de samme domenene som LOBSHOT. Basert på disse funnene tror forskere med moderat sikkerhet at LOBSHOT er en ny funksjon av TA505 og har vært i bruk siden 2022.

Infeksjoner forårsaket av LOBSHOT begynner vanligvis med at brukere søker etter lovlige programvarenedlastinger. Imidlertid ender de opp med å laste ned illegitim programvare fra promoterte annonser via Google. Når de første bibliotekene er lastet, utfører LOBSHOT en anti-emuleringssjekk på Windows Defender ved å verifisere om datamaskinnavnet samsvarer med "HAL9TH" og brukernavnet samsvarer med "JohnDoe".

Disse verdiene er hardkodet i Defender-emuleringslaget, og hvis det oppdages, slutter skadelig programvare å kjøre umiddelbart. Denne typen verifisering har blitt brukt i andre stjelere som Arkei, Vidar og Oski.

Hvordan kan malvertising brukes til å spre skadelig programvare?

Malvertising er en type cyberangrep som involverer bruk av nettannonser for å spre skadelig programvare. Skadelig programvare, forkortelse for skadelig programvare, refererer til programvare som er utviklet for å skade et datasystem eller nettverk. Malvertiserende angripere bruker legitime annonser for å lure brukere til å klikke på dem, noe som deretter fører til installasjon av skadelig programvare på enhetene deres.

Her er noen måter malvertising kan brukes til å spre skadelig programvare:

  • Utnyttelse av sårbarheter: Malvertisers kan lage annonser som inneholder ondsinnet kode som utnytter sårbarheter i brukerens nettleser, plugins eller operativsystem. Når en bruker klikker på annonsen, kjører koden og laster ned og installerer skadelig programvare på brukerens enhet.
  • Sosial teknikk: Malvertisers kan bruke sosial ingeniørtaktikk for å lure brukere til å klikke på annonser. De kan lage annonser som etterligner legitime programvareoppdateringer, antivirusskanninger eller systemmeldinger. Når brukeren klikker på annonsen, blir de dirigert til et falskt nettsted som ber dem om å laste ned skadelig programvare.
  • Drive-by-nedlastinger: Malvertisers kan lage annonser som automatisk laster ned skadelig programvare til brukerens enhet uten brukerens viten eller samtykke. Disse drive-by-nedlastingene utnytter ofte sårbarheter i brukerens nettleser eller operativsystem.

May 2, 2023
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.