Вредоносное ПО LOBSHOT, используемое в кампании по вредоносной рекламе

Ранее в этом году Elastic Security Labs в сотрудничестве с исследовательским сообществом обнаружили значительный рост использования вредоносной рекламы. Злоумышленники использовали изощренную стратегию создания фальшивых веб-сайтов с помощью Google Ads и внедрения бэкдоров в, казалось бы, законных установщиков для продвижения своего вредоносного ПО. Среди семейств вредоносных программ, наблюдаемых во время этого всплеска, был LOBSHOT, который остается активным и продолжает атаковать жертв, не привлекая к себе внимания.

Одной из ключевых особенностей LOBSHOT является компонент hVNC (скрытые виртуальные сетевые вычисления), который обеспечивает прямой и незаметный доступ к зараженным машинам. Эта возможность доказала свою высокую эффективность в обходе систем обнаружения мошенничества и часто включается в популярные семейства вредоносных программ в виде подключаемых модулей.

В ходе анализа эксперты наблюдали за инфраструктурой, которая, как известно, связана с TA505, печально известной киберпреступной группировкой, ответственной за кампании Dridex, Locky и Necurs. Также было обнаружено, что LOBSHOT имеет сходство с загрузчиком, известным как Get2, который ранее был связан с теми же доменами, что и LOBSHOT. Основываясь на этих выводах, исследователи с умеренной уверенностью полагают, что LOBSHOT — это новая возможность TA505, которая используется с 2022 года.

Заражение, вызванное LOBSHOT, обычно начинается с поиска пользователями законных загрузок программного обеспечения. Однако в конечном итоге они загружают нелегальное программное обеспечение из рекламных объявлений через Google. После загрузки начальных библиотек LOBSHOT выполняет проверку защиты от эмуляции в Защитнике Windows, проверяя, соответствует ли имя компьютера «HAL9TH», а имя пользователя — «JohnDoe».

Эти значения жестко запрограммированы на уровне эмуляции Защитника, и если они обнаружены, вредоносное ПО немедленно прекращает работу. Этот тип проверки использовался в других стилерах, таких как Arkei, Vidar и Oski.

Как можно использовать вредоносную рекламу для распространения вредоносного ПО?

Вредоносная реклама — это тип кибератаки, который включает использование онлайн-рекламы для распространения вредоносного ПО. Вредоносное ПО, сокращение от «вредоносное программное обеспечение», относится к любому программному обеспечению, предназначенному для нанесения вреда компьютерной системе или сети. Злоумышленники, распространяющие вредоносную рекламу, используют рекламу, выглядящую как законная, чтобы заставить пользователей нажимать на нее, что затем приводит к установке вредоносного ПО на их устройства.

Вот несколько способов использования вредоносной рекламы для распространения вредоносных программ:

• Использование уязвимостей. Вредоносные программы могут создавать рекламу, содержащую вредоносный код, использующий уязвимости в браузере, плагинах или операционной системе пользователя. Когда пользователь нажимает на объявление, код выполняется, загружает и устанавливает вредоносное ПО на устройство пользователя.
• Социальная инженерия. Вредоносные программы могут использовать тактику социальной инженерии, чтобы заставить пользователей нажимать на рекламу. Они могут создавать рекламу, имитирующую законные обновления программного обеспечения, антивирусное сканирование или системные сообщения. Когда пользователь нажимает на объявление, он перенаправляется на поддельный веб-сайт, который предлагает ему загрузить вредоносное ПО.
• Попутные загрузки: вредоносы могут создавать рекламу, которая автоматически загружает вредоносное ПО на устройство пользователя без ведома или согласия пользователя. Эти попутные загрузки часто используют уязвимости в браузере или операционной системе пользователя.