MKD-CIRT National Centre for Computer Incident Response
Новиот малициозен софтвер познат како „LOBSHOT“ дистрибуиран со помош на Google реклами им овозможува на хакерите скришум да ги заразат Windows уредите користејќи hVNC.
Претходно оваа година, BleepingComputer и бројни истражувачи за сајбер безбедност пријавија драматично зголемување на заканите кои ги користат Google рекламите за дистрибуција на малициозен софтвер во резултатите од пребарувањето.
Овие рекламни кампањи имитираат веб-страници за 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus и многу други апликации.
Сепак, овие сајтови ширеа малициозен софтвер наместо да дистрибуираат легитимни апликации, вклучувајќи ги Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT и Royal Ransomware.
Во новиот извештај на Elastic Security Labs, истражувачите открија дека нов тројанец за далечински пристап наречен LOBSHOT се дистрибуира преку Google Ads.
Овие реклами го промовираа легитимниот софтвер за далечинско управување со AnyDesk, но доведоа до лажна страница на AnyDesk на веб-страницата amydeecke[.].
Оваа страница шири малициозна MSI датотека која извршува PowerShell команда за преземање на DLL од download-cdn[.]com, домен историски поврзан со TA505/Clop ransomware групата.
Сепак, истражувачот за закани на Proofpoint, Tommy Madjar, претходно за BleepingComputer изјави дека овој домен ја променил сопственоста во минатото, па не е јасно дали TA505 сè уште го користи.
Преземената DLL-датотека е LOBSHOT малвер и ќе биде зачувана во C:\ProgramData папката, а потоа ќе се изврши од RunDLL32.exe.
„Набљудивме преку 500 уникатни LOBSHOT примероци од минатиот јули. Примероците што ги набљудувавме се составени како 32-битни DLL или 32-битни извршни датотеки кои обично се движат од 93 KB до 124 KB“, стои во извештајот на Elastic Security Labs.
Откако ќе се изврши, малициозниот софтвер ќе провери дали Microsoft Defender работи и ако е откриен, ќе го прекине извршувањето со цел да спречи откривање.
Ако Defender не е откриен, малициозниот софтвер ќе ги конфигурира записите во регистарот да стартуваат автоматски кога се најавувате на Windows и потоа ќе ги пренесува системските информации од заразениот уред, вклучувајќи ги и процесите што се извршуваат.
Малициозниот софтвер ќе проверува и за 32 екстензии на паричникот за криптовалути на Chrome, девет екстензии за паричник Edge и 11 екстензии за паричник на Firefox.
По набројувањето на екстензиите, малициозниот софтвер ќе изврши датотека во C:\ProgramData. Меѓутоа, бидејќи таа датотека не постоела во нивната анализа, Elastic не е сигурен дали се користи за кражба на податоците за наставката или за некоја друга цел.
Иако крадењето на екстензии на криптовалути е вообичаено, Elastic исто така откри дека малициозниот софтвер вклучува hVNC модул, дозволувајќи им на хакерите тивко да пристапат до заразениот уред од далечина.
hVNC, или hidden virtual network computing, е VNC софтвер за далечински пристап модифициран за да контролира скриена работна површина на заразениот уред наместо главната работна површина што ја користи сопственикот на уредот.
Ова му овозможува на хакерот далечински да контролира WINDOWS десктоп компјутер со без жртвата да знае дека тоа се случува.
Elastic изјави дека LOBSHOT распоредува hVNC модул кој им овозможува на хакерите да ја контролираат скриената работна површина користејќи го глувчето и тастатурата како да се пред него.
„Во оваа фаза, машината-жртва ќе започне да испраќа слики што ја претставуваат скриената работна површина што се испраќа до клиентот што слуша контролиран од напаѓачот“, објаснува Elastic.
„Хакерот комуницира со клиентот преку контролирање на тастатурата, кликнување на копчињата и движење на глувчето, овие способности му обезбедуваат на хакерот целосна далечинска контрола на уредот.
Користејќи hVNC, хакерите имаат целосна контрола врз уредот, овозможувајќи им да извршуваат команди, да крадат податоци.
Бидејќи AnyDesk вообичаено се користи во деловни средини, малициозниот софтвер најверојатно се користи за првичен пристап до корпоративните мрежи и за латерално ширење на други уреди.
Овој тип на пристап може да доведе до ransomware напади, крадење податоци и други напади.
Извор: BleepingComputer
