惡意廣告活動中使用的 LOBSHOT 惡意軟件

computer scam

今年早些時候,Elastic 安全實驗室與研究社區合作,發現惡意廣告的使用顯著增加。攻擊者利用一種複雜的策略,通過 Google Ads 創建虛假網站,並在看似合法的安裝程序中嵌入後門來推廣他們的惡意軟件。在此次激增期間觀察到的惡意軟件家族中有 LOBSHOT,它仍然活躍並繼續以受害者為目標,而不會引起人們對自身的注意。

LOBSHOT 的主要功能之一是它的 hVNC(隱藏虛擬網絡計算)組件,它可以直接和不被發現地訪問受感染的機器。此功能已被證明在繞過欺詐檢測系統方面非常有效,並且通常作為插件被納入流行的惡意軟件系列。

在分析過程中,專家觀察了已知與 TA505 相關的基礎設施,TA505 是一個臭名昭著的網絡犯罪組織,負責 Dridex、Locky 和 Necurs 活動。還發現 LOBSHOT 與稱為 Get2 的加載程序有相似之處,後者之前已鏈接到與 LOBSHOT 相同的域。基於這些發現,研究人員有信心地認為,LOBSHOT 是 TA505 的一項新功能,自 2022 年以來一直在使用。

LOBSHOT 引起的感染通常始於用戶搜索合法軟件下載。然而,他們最終通過谷歌從推廣廣告中下載了非法軟件。加載初始庫後,LOBSHOT 通過驗證計算機名稱是否與“HAL9TH”匹配以及用戶名是否與“JohnDoe”匹配,對 Windows Defender 執行反仿真檢查。

這些值在 Defender 仿真層中進行了硬編碼,如果檢測到,惡意軟件會立即停止運行。這種類型的驗證已被用於其他竊取器,如 Arkei、Vidar 和 Oski。

惡意廣告如何用於傳播惡意軟件?

惡意廣告是一種網絡攻擊,涉及使用在線廣告來傳播惡意軟件。惡意軟件是惡意軟件的簡稱,是指任何旨在危害計算機系統或網絡的軟件。惡意廣告攻擊者使用看似合法的廣告來誘騙用戶點擊它們,然後導致在他們的設備上安裝惡意軟件。

以下是惡意廣告可用於傳播惡意軟件的一些方式:

  • 利用漏洞:惡意廣告商可以製作包含利用用戶瀏覽器、插件或操作系統漏洞的惡意代碼的廣告。當用戶點擊廣告時,代碼就會執行並下載惡意軟件並將其安裝到用戶的設備上。
  • 社會工程:惡意廣告商可以使用社會工程策略來誘騙用戶點擊廣告。他們可以製作模仿合法軟件更新、防病毒掃描或系統消息的廣告。當用戶點擊廣告時,他們會被引導至一個虛假網站,提示他們下載惡意軟件。
  • 路過式下載:惡意廣告商可以製作廣告,在用戶不知情或未同意的情況下自動將惡意軟件下載到用戶設備上。這些路過式下載通常會利用用戶瀏覽器或操作系統中的漏洞。

May 2, 2023
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。