Cybersikkerhedsforskere afslørede for nylig flere ondsindede kampagner, der brugte Google-annoncer til at sprede malware som Gozi, Røde linje, Vidar, Cobalt Strike, SectorRAT, og Royal Ransomware, maskering af dem som legitime applikationer såsom 7-ZIP, VLC, OBS, notepad ++, CCleaner, TradingView, og Rufus. Et bestemt stykke malware, kaldet 'LOBSHOT', er især farligt, da det indeholder en skjult hVNC, som gør det muligt for angribere at tage kontrol over inficerede Windows-enheder uden registrering.
LOBSHOT Malware-kampagne afsløret i naturen
Elastic Security Labs og forskningsmiljøet registrerede en stejl stigning i malvertiserende aktivitet. Angribere brugte et detaljeret trick af svigagtige websteder, Google Ads, og bagdøre indlejret i, hvad der så ud til at være legitime installatører.
I hjertet af LOBSHOT er dens hVNC (Skjult Virtual Network Computing) komponent. Dette aspekt gør det muligt for angribere at oprette forbindelse direkte til maskinen uden at vække mistanke, og er et fællestræk for andre ondsindede familier. Vi vil forklare LOBSHOT-infektionskæden og dens karakteristika, samt give en YARA signatur og konfigurationsudtrækker til det.
Cybersikkerhedsfirmaet koblede sammen ondsindet software til en anerkendt trusselgruppe ved navn TA505, som resultat af en undersøgelse af den infrastruktur, der traditionelt er knyttet til gruppen. TA505 er et ulovligt elektronisk kriminelt syndikat, der er økonomisk motiveret og er blevet identificeret som Evil Corp., FIN11, og Indrik Edderkop i visse Forekomster.
LOBSHOT-malwaren bruger dynamisk importopløsning, anti-emuleringsanalyse, og strengkryptering for at skjule dens eksistens fra sikkerhedsprogrammer. Efter at være blevet implanteret, det foretager ændringer i Windows registreringsdatabasen for at forblive vedvarende og illegitimt få adgang til data fra mere end 50 cryptocurrency wallet-tilføjelser, der bruges i internetbrowsere såsom Google Chrome, Microsoft Edge, og Mozilla Firefox.
LOBSHOT er også en Infostealer
Malwaren har også en mulighed for at stjæle oplysninger ved at starte en ny tråd, med fokus på Google Chrome, Microsoft Edge, og Mozilla Firefox-udvidelser relateret til cryptocurrency-punge. Dens oprindelige mål var 32 Chrome wallet-udvidelser forbundet med kryptovaluta, efterfulgt af 9 Edge wallet extensions, og 11 Firefox tegnebogsudvidelser. Følgende er Procmon-output, der viser LOBSHOTs forsøg på at få adgang til de nævnte tegnebogsudvidelser.
Afslutningsvis
Trusselsgrupper bruger vedvarende malvertising-strategier til at skjule ægte software med bagdøre, såsom LOBSHOT. På trods af den vildledende lille størrelse af disse typer malware, de har væsentlige funktioner, der hjælper trusselsaktører i deres indledende adgangsfaser, give dem fuld, interaktiv fjernbetjening. Det har forskerne været observere friske prøver af denne familie hver uge, og forventer, at det vil forblive udbredt i en overskuelig fremtid.