恶意广告活动中使用的 LOBSHOT 恶意软件

今年早些时候，Elastic 安全实验室与研究社区合作，发现恶意广告的使用显着增加。攻击者利用一种复杂的策略，通过 Google Ads 创建虚假网站，并在看似合法的安装程序中嵌入后门来推广他们的恶意软件。在此次激增期间观察到的恶意软件家族中有 LOBSHOT，它仍然活跃并继续以受害者为目标，而不会引起人们对自身的注意。

LOBSHOT 的主要功能之一是它的 hVNC（隐藏虚拟网络计算）组件，它可以直接和不被发现地访问受感染的机器。此功能已被证明在绕过欺诈检测系统方面非常有效，并且通常作为插件被纳入流行的恶意软件系列。

在分析过程中，专家观察了已知与 TA505 相关的基础设施，TA505 是一个臭名昭著的网络犯罪组织，负责 Dridex、Locky 和 Necurs 活动。还发现 LOBSHOT 与称为 Get2 的加载程序有相似之处，后者之前已链接到与 LOBSHOT 相同的域。基于这些发现，研究人员有信心地认为，LOBSHOT 是 TA505 的一项新功能，自 2022 年以来一直在使用。

LOBSHOT 引起的感染通常始于用户搜索合法软件下载。然而，他们最终通过谷歌从推广广告中下载了非法软件。加载初始库后，LOBSHOT 通过验证计算机名称是否与“HAL9TH”匹配以及用户名是否与“JohnDoe”匹配，对 Windows Defender 执行反仿真检查。

这些值在 Defender 仿真层中进行了硬编码，如果检测到，恶意软件会立即停止运行。这种类型的验证已被用于其他窃取器，如 Arkei、Vidar 和 Oski。

恶意广告如何用于传播恶意软件？

恶意广告是一种网络攻击，涉及使用在线广告来传播恶意软件。恶意软件是恶意软件的简称，是指任何旨在危害计算机系统或网络的软件。恶意广告攻击者使用看似合法的广告来诱骗用户点击它们，然后导致在他们的设备上安装恶意软件。

以下是恶意广告可用于传播恶意软件的一些方式：

• 利用漏洞：恶意广告商可以制作包含利用用户浏览器、插件或操作系统漏洞的恶意代码的广告。当用户点击广告时，代码就会执行并下载恶意软件并将其安装到用户的设备上。
• 社会工程：恶意广告商可以使用社会工程策略来诱骗用户点击广告。他们可以制作模仿合法软件更新、防病毒扫描或系统消息的广告。当用户点击广告时，他们会被引导至一个虚假网站，提示他们下载恶意软件。
• 路过式下载：恶意广告商可以制作广告，在用户不知情或未同意的情况下自动将恶意软件下载到用户设备上。这些路过式下载通常会利用用户浏览器或操作系统中的漏洞。