LOBSHOT-malware gebruikt in malvertisingcampagne

Eerder dit jaar ontdekte Elastic Security Labs, in samenwerking met de onderzoeksgemeenschap, een aanzienlijke stijging in het gebruik van malvertising. Aanvallers gebruikten een geavanceerde strategie om nepwebsites te maken via Google Ads en achterdeurtjes in te sluiten in schijnbaar legitieme installatieprogramma's om hun malware te promoten. Onder de malwarefamilies die tijdens deze piek werden waargenomen, bevond zich LOBSHOT, dat actief blijft en slachtoffers blijft aanvallen zonder de aandacht op zichzelf te vestigen.

Een van de belangrijkste kenmerken van LOBSHOT is de hVNC-component (Hidden Virtual Network Computing), die directe en onopgemerkte toegang tot geïnfecteerde machines mogelijk maakt. Deze mogelijkheid is zeer effectief gebleken bij het omzeilen van fraudedetectiesystemen en wordt vaak als plug-ins in populaire malwarefamilies opgenomen.

Tijdens de analyse observeerden experts infrastructuur waarvan bekend is dat deze verband houdt met TA505, een beruchte cybercriminele groep die verantwoordelijk is voor Dridex-, Locky- en Necurs-campagnes. Er werd ook ontdekt dat LOBSHOT overeenkomsten vertoont met een loader die bekend staat als Get2, die eerder was gekoppeld aan dezelfde domeinen als LOBSHOT. Op basis van deze bevindingen geloven onderzoekers met matig vertrouwen dat LOBSHOT een nieuwe mogelijkheid van TA505 is en sinds 2022 in gebruik is.

Infecties veroorzaakt door LOBSHOT beginnen meestal met het zoeken van gebruikers naar legitieme softwaredownloads. Ze downloaden echter uiteindelijk onwettige software van gepromote advertenties via Google. Zodra de eerste bibliotheken zijn geladen, voert LOBSHOT een anti-emulatiecontrole uit op Windows Defender door te controleren of de computernaam overeenkomt met "HAL9TH" en de gebruikersnaam overeenkomt met "JohnDoe".

Deze waarden zijn hard gecodeerd in de Defender-emulatielaag en als ze worden gedetecteerd, stopt de malware onmiddellijk. Dit type verificatie is gebruikt bij andere dieven zoals Arkei, Vidar en Oski.

Hoe kan malvertising worden gebruikt om malware te verspreiden?

Malvertising is een type cyberaanval waarbij online advertenties worden gebruikt om malware te verspreiden. Malware, een afkorting van kwaadaardige software, verwijst naar alle software die is ontworpen om schade toe te brengen aan een computersysteem of netwerk. Malvertising-aanvallers gebruiken legitiem ogende advertenties om gebruikers te misleiden om erop te klikken, wat vervolgens leidt tot de installatie van malware op hun apparaten.

Hier volgen enkele manieren waarop malvertising kan worden gebruikt om malware te verspreiden:

• Kwetsbaarheden uitbuiten: malverteerders kunnen advertenties maken die schadelijke code bevatten die misbruik maakt van kwetsbaarheden in de browser, plug-ins of het besturingssysteem van de gebruiker. Wanneer een gebruiker op de advertentie klikt, wordt de code uitgevoerd en malware gedownload en geïnstalleerd op het apparaat van de gebruiker.
• Social engineering: Malvertisers kunnen social engineering-tactieken gebruiken om gebruikers te misleiden om op advertenties te klikken. Ze kunnen advertenties maken die legitieme software-updates, antivirusscans of systeemberichten nabootsen. Wanneer de gebruiker op de advertentie klikt, wordt hij doorverwezen naar een nepwebsite die hem vraagt malware te downloaden.
• Drive-by-downloads: Malvertisers kunnen advertenties maken die automatisch malware naar het apparaat van de gebruiker downloaden zonder medeweten of toestemming van de gebruiker. Deze drive-by downloads maken vaak misbruik van kwetsbaarheden in de browser of het besturingssysteem van de gebruiker.