惡意廣告活動中使用的 LOBSHOT 惡意軟件
今年早些時候,Elastic 安全實驗室與研究社區合作,發現惡意廣告的使用顯著增加。攻擊者利用一種複雜的策略,通過 Google Ads 創建虛假網站,並在看似合法的安裝程序中嵌入後門來推廣他們的惡意軟件。在此次激增期間觀察到的惡意軟件家族中有 LOBSHOT,它仍然活躍並繼續以受害者為目標,而不會引起人們對自身的注意。
LOBSHOT 的主要功能之一是它的 hVNC(隱藏虛擬網絡計算)組件,它可以直接和不被發現地訪問受感染的機器。此功能已被證明在繞過欺詐檢測系統方面非常有效,並且通常作為插件被納入流行的惡意軟件系列。
在分析過程中,專家觀察了已知與 TA505 相關的基礎設施,TA505 是一個臭名昭著的網絡犯罪組織,負責 Dridex、Locky 和 Necurs 活動。還發現 LOBSHOT 與稱為 Get2 的加載程序有相似之處,後者之前已鏈接到與 LOBSHOT 相同的域。基於這些發現,研究人員有信心地認為,LOBSHOT 是 TA505 的一項新功能,自 2022 年以來一直在使用。
LOBSHOT 引起的感染通常始於用戶搜索合法軟件下載。然而,他們最終通過谷歌從推廣廣告中下載了非法軟件。加載初始庫後,LOBSHOT 通過驗證計算機名稱是否與“HAL9TH”匹配以及用戶名是否與“JohnDoe”匹配,對 Windows Defender 執行反仿真檢查。
這些值在 Defender 仿真層中進行了硬編碼,如果檢測到,惡意軟件會立即停止運行。這種類型的驗證已被用於其他竊取器,如 Arkei、Vidar 和 Oski。
惡意廣告如何用於傳播惡意軟件?
惡意廣告是一種網絡攻擊,涉及使用在線廣告來傳播惡意軟件。惡意軟件是惡意軟件的簡稱,是指任何旨在危害計算機系統或網絡的軟件。惡意廣告攻擊者使用看似合法的廣告來誘騙用戶點擊它們,然後導致在他們的設備上安裝惡意軟件。
以下是惡意廣告可用於傳播惡意軟件的一些方式:
- 利用漏洞:惡意廣告商可以製作包含利用用戶瀏覽器、插件或操作系統漏洞的惡意代碼的廣告。當用戶點擊廣告時,代碼就會執行並下載惡意軟件並將其安裝到用戶的設備上。
- 社會工程:惡意廣告商可以使用社會工程策略來誘騙用戶點擊廣告。他們可以製作模仿合法軟件更新、防病毒掃描或系統消息的廣告。當用戶點擊廣告時,他們會被引導至一個虛假網站,提示他們下載惡意軟件。
- 路過式下載:惡意廣告商可以製作廣告,在用戶不知情或未同意的情況下自動將惡意軟件下載到用戶設備上。這些路過式下載通常會利用用戶瀏覽器或操作系統中的漏洞。