Złośliwe oprogramowanie LOBSHOT wykorzystywane w kampanii reklamowej

Na początku tego roku firma Elastic Security Labs we współpracy ze społecznością badawczą wykryła znaczny wzrost wykorzystania złośliwych reklam. Atakujący wykorzystali wyrafinowaną strategię tworzenia fałszywych stron internetowych za pośrednictwem Google Ads i osadzania backdoorów w pozornie legalnych instalatorach w celu promowania swojego złośliwego oprogramowania. Wśród rodzin szkodliwego oprogramowania obserwowanych podczas tego skoku znajdował się LOBSHOT, który pozostaje aktywny i nadal atakuje ofiary, nie zwracając na siebie uwagi.

Jedną z kluczowych funkcji LOBSHOT jest komponent hVNC (Hidden Virtual Network Computing), który umożliwia bezpośredni i nieobserwowany dostęp do zainfekowanych maszyn. Ta funkcja okazała się bardzo skuteczna w omijaniu systemów wykrywania oszustw i jest często włączana do popularnych rodzin złośliwego oprogramowania jako wtyczki.

Podczas analizy eksperci obserwowali infrastrukturę, o której wiadomo, że jest powiązana z TA505, znaną grupą cyberprzestępczą odpowiedzialną za kampanie Dridex, Locky i Necurs. Odkryto również, że LOBSHOT jest podobny do programu ładującego znanego jako Get2, który wcześniej był powiązany z tymi samymi domenami co LOBSHOT. Na podstawie tych ustaleń naukowcy są przekonani z umiarkowaną pewnością, że LOBSHOT to nowa zdolność TA505, która jest używana od 2022 roku.

Infekcje spowodowane przez LOBSHOT zwykle zaczynają się od użytkowników szukających legalnego oprogramowania do pobrania. Jednak w końcu pobierają nielegalne oprogramowanie z promowanych reklam za pośrednictwem Google. Po załadowaniu początkowych bibliotek LOBSHOT przeprowadza kontrolę antyemulacyjną w programie Windows Defender, sprawdzając, czy nazwa komputera pasuje do „HAL9TH”, a nazwa użytkownika do „JohnDoe”.

Te wartości są zakodowane na stałe w warstwie emulacji usługi Defender, a jeśli zostaną wykryte, złośliwe oprogramowanie natychmiast przestaje działać. Ten typ weryfikacji został zastosowany w innych złodziejach, takich jak Arkei, Vidar i Oski.

W jaki sposób malvertising może być wykorzystany do rozprzestrzeniania złośliwego oprogramowania?

Malvertising to rodzaj cyberataku, który polega na wykorzystaniu reklam online do rozprzestrzeniania złośliwego oprogramowania. Złośliwe oprogramowanie, skrót od złośliwego oprogramowania, odnosi się do każdego oprogramowania, którego celem jest uszkodzenie systemu komputerowego lub sieci. Osoby atakujące wykorzystujące złośliwe reklamy wykorzystują wyglądające na legalne reklamy, aby nakłonić użytkowników do ich kliknięcia, co następnie prowadzi do instalacji złośliwego oprogramowania na ich urządzeniach.

Oto kilka sposobów wykorzystania złośliwej reklamy do rozprzestrzeniania złośliwego oprogramowania:

• Wykorzystując luki w zabezpieczeniach: oszuści mogą tworzyć reklamy zawierające złośliwy kod, który wykorzystuje luki w przeglądarce użytkownika, wtyczkach lub systemie operacyjnym. Gdy użytkownik klika reklamę, kod jest wykonywany, pobiera i instaluje złośliwe oprogramowanie na urządzeniu użytkownika.
• Inżynieria społeczna: oszuści mogą wykorzystywać taktyki inżynierii społecznej, aby nakłonić użytkowników do klikania reklam. Mogą tworzyć reklamy imitujące legalne aktualizacje oprogramowania, skany antywirusowe lub komunikaty systemowe. Gdy użytkownik kliknie reklamę, zostaje przekierowany na fałszywą stronę internetową, która zachęca go do pobrania złośliwego oprogramowania.
• Automatyczne pobieranie: oszuści mogą tworzyć reklamy, które automatycznie pobierają złośliwe oprogramowanie na urządzenie użytkownika bez wiedzy i zgody użytkownika. Te pobrania typu drive-by często wykorzystują luki w zabezpieczeniach przeglądarki lub systemu operacyjnego użytkownika.