LOBSHOT skadlig programvara som används i malvertisingkampanj

computer scam

Tidigare i år upptäckte Elastic Security Labs, i samarbete med forskarvärlden, en betydande ökning av användningen av malvertising. Angripare använde en sofistikerad strategi för att skapa falska webbplatser via Google Ads och bädda in bakdörrar i vad som verkade vara legitima installatörer för att marknadsföra sin skadliga programvara. Bland de skadliga familjerna som observerades under denna spik var LOBSHOT, som förblir aktivt och fortsätter att rikta sig mot offer utan att dra uppmärksamheten till sig själv.

En av LOBSHOTs nyckelfunktioner är dess hVNC-komponent (Hidden Virtual Network Computing), som möjliggör direkt och oobserverad åtkomst till infekterade maskiner. Denna förmåga har visat sig vara mycket effektiv för att kringgå system för upptäckt av bedrägerier och är ofta inkorporerad i populära skadliga programfamiljer som plugins.

Under analysen observerade experter infrastruktur som är känd för att vara associerad med TA505, en ökända cyberbrottsgrupp som ansvarar för Dridex-, Locky- och Necurs-kampanjer. Det upptäcktes också att LOBSHOT delar likheter med en loader känd som Get2, som tidigare har länkats till samma domäner som LOBSHOT. Baserat på dessa resultat tror forskarna med måttlig tillförsikt att LOBSHOT är en ny funktion hos TA505 och har använts sedan 2022.

Infektioner orsakade av LOBSHOT börjar vanligtvis med användare som söker efter legitima nedladdningar av programvara. Men det slutar med att de laddar ner olaglig programvara från marknadsförda annonser via Google. När de första biblioteken har laddats utför LOBSHOT en anti-emuleringskontroll på Windows Defender genom att verifiera om datornamnet matchar "HAL9TH" och användarnamnet matchar "JohnDoe".

Dessa värden är hårdkodade i Defender-emuleringsskiktet, och om det upptäcks slutar skadlig programvara att köras omedelbart. Denna typ av verifiering har använts i andra stjälare som Arkei, Vidar och Oski.

Hur kan malvertising användas för att sprida skadlig programvara?

Malvertising är en typ av cyberattack som involverar användning av onlineannonser för att sprida skadlig programvara. Skadlig programvara, förkortning för skadlig programvara, syftar på all programvara som är utformad för att skada ett datorsystem eller nätverk. Malvertising-angripare använder legitima annonser för att lura användare att klicka på dem, vilket sedan leder till installation av skadlig programvara på deras enheter.

Här är några sätt som malvertising kan användas för att sprida skadlig programvara:

  • Utnyttja sårbarheter: Malvertisers kan skapa annonser som innehåller skadlig kod som utnyttjar sårbarheter i användarens webbläsare, plugins eller operativsystem. När en användare klickar på annonsen körs koden och laddar ner och installerar skadlig programvara på användarens enhet.
  • Social ingenjörskonst: Malvertisers kan använda social ingenjörsteknik för att lura användare att klicka på annonser. De kan skapa annonser som efterliknar legitima programuppdateringar, antivirusgenomsökningar eller systemmeddelanden. När användaren klickar på annonsen dirigeras de till en falsk webbplats som uppmanar dem att ladda ner skadlig programvara.
  • Drive-by-nedladdningar: Malvertisers kan skapa annonser som automatiskt laddar ner skadlig programvara till användarens enhet utan användarens vetskap eller samtycke. Dessa drive-by-nedladdningar drar ofta fördel av sårbarheter i användarens webbläsare eller operativsystem.

May 2, 2023
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.