Malware LOBSHOT usado em campanha de malvertising

computer scam

No início deste ano, o Elastic Security Labs, em colaboração com a comunidade de pesquisa, detectou um aumento significativo no uso de publicidade maliciosa. Os invasores utilizaram uma estratégia sofisticada de criar sites falsos por meio do Google Ads e incorporar backdoors no que pareciam ser instaladores legítimos para promover seu malware. Entre as famílias de malware observadas durante esse pico estava o LOBSHOT, que permanece ativo e continua a atingir as vítimas sem chamar a atenção para si mesmo.

Um dos principais recursos do LOBSHOT é seu componente hVNC (Hidden Virtual Network Computing), que permite acesso direto e não observado a máquinas infectadas. Esse recurso provou ser altamente eficaz para contornar os sistemas de detecção de fraudes e geralmente é incorporado a famílias de malware populares como plug-ins.

Durante a análise, os especialistas observaram uma infraestrutura conhecida por estar associada ao TA505, um notório grupo de crimes cibernéticos responsável pelas campanhas Dridex, Locky e Necurs. Também foi descoberto que o LOBSHOT compartilha semelhanças com um carregador conhecido como Get2, que já foi vinculado aos mesmos domínios do LOBSHOT. Com base nessas descobertas, os pesquisadores acreditam com confiança moderada que o LOBSHOT é um novo recurso do TA505 e está em uso desde 2022.

As infecções causadas pelo LOBSHOT geralmente começam com usuários procurando por downloads de software legítimos. No entanto, acabam por descarregar software ilegítimo de anúncios promovidos através do Google. Depois que as bibliotecas iniciais são carregadas, o LOBSHOT executa uma verificação antiemulação no Windows Defender verificando se o nome do computador corresponde a "HAL9TH" e o nome de usuário corresponde a "JohnDoe".

Esses valores são codificados na camada de emulação do Defender e, se detectados, o malware para de funcionar imediatamente. Esse tipo de verificação foi empregado em outros ladrões, como Arkei, Vidar e Oski.

Como o Malvertising pode ser usado para espalhar malware?

Malvertising é um tipo de ataque cibernético que envolve o uso de anúncios online para espalhar malware. Malware, abreviação de software malicioso, refere-se a qualquer software projetado para danificar um sistema de computador ou rede. Os invasores de malvertising usam anúncios de aparência legítima para induzir os usuários a clicar neles, o que leva à instalação de malware em seus dispositivos.

Aqui estão algumas maneiras pelas quais o malvertising pode ser usado para espalhar malware:

  • Exploração de vulnerabilidades: Malvertisers podem criar anúncios que contêm código malicioso que explora vulnerabilidades no navegador, plug-ins ou sistema operacional do usuário. Quando um usuário clica no anúncio, o código é executado, baixa e instala malware no dispositivo do usuário.
  • Engenharia social: Malvertisers podem usar táticas de engenharia social para induzir os usuários a clicar em anúncios. Eles podem criar anúncios que imitam atualizações legítimas de software, verificações de antivírus ou mensagens do sistema. Quando o usuário clica no anúncio, ele é direcionado para um site falso que solicita o download de um malware.
  • Downloads direcionados: Malvertisers podem criar anúncios que baixam malware automaticamente no dispositivo do usuário sem o conhecimento ou consentimento do usuário. Esses downloads drive-by geralmente tiram proveito de vulnerabilidades no navegador ou sistema operacional do usuário.

May 2, 2023
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.