Cybersicherheitsforscher haben kürzlich mehrere böswillige Kampagnen aufgedeckt, die Google-Anzeigen zur Verbreitung von Malware wie Gozi verwendeten, Rote Linie, Vidar, Cobalt Streik, SektorRAT, und Royal Ransomware, sie als legitime Anwendungen wie 7-ZIP zu maskieren, VLC, OBS, Notepad ++ , CCleaner, Handelsansicht, und Rufus. Eine bestimmte Malware, genannt "LOBSHOT", ist besonders gefährlich, da es eine versteckte hVNC enthält, die es Angreifern ermöglicht, unbemerkt die Kontrolle über infizierte Windows-Geräte zu übernehmen.
LOBSHOT-Malware-Kampagne in freier Wildbahn aufgedeckt
Elastic Security Labs und die Forschungsgemeinschaft haben einen steilen Anstieg festgestellt Malvertising-Aktivität. Angreifer nutzten einen detaillierten Trick betrügerischer Websites, Google Ads, und Hintertüren, die in scheinbar legitime Installer eingebettet waren.
Das Herzstück von LOBSHOT ist hVNC (Verstecktes Virtual Network Computing) Komponente. Dieser Aspekt ermöglicht es Angreifern, sich direkt mit der Maschine zu verbinden, ohne Verdacht zu erregen, und ist ein gemeinsames Merkmal anderer bösartiger Familien. Wir erklären die LOBSHOT-Infektionskette und ihre Besonderheiten, sowie einen YARA-Signatur- und Konfigurationsextraktor dafür bereitstellen.
Das Cybersicherheitsunternehmen verknüpfte die schädliche Software an eine anerkannte Bedrohungsgruppe namens TA505, als Ergebnis einer Untersuchung der Infrastruktur, die traditionell mit der Gruppe verbunden ist. TA505 ist ein illegales elektronisches kriminelles Syndikat, das finanziell motiviert ist und als Evil Corp. identifiziert wurde, FIN11, und Indrik Spider in bestimmten Fällen.
Die LOBSHOT-Malware verwendet eine dynamische Importauflösung, Anti-Emulationsanalyse, und Zeichenfolgenverschlüsselung, um seine Existenz vor Sicherheitsprogrammen zu verbergen. Nach der Implantation, Es nimmt Änderungen an der Windows-Registrierung vor, um dauerhaft zu bleiben und unrechtmäßig auf Daten von mehr als zuzugreifen 50 Wallet-Add-Ins für Kryptowährungen, die in Internetbrowsern wie Google Chrome verwendet werden, Microsoft Edge-, und Mozilla Firefox.
LOBSHOT ist auch ein Infostealer
Die Malware verfügt auch über eine Funktion zum Stehlen von Informationen, indem sie einen neuen Thread startet, Fokus auf Google Chrome, Microsoft Edge-, und Mozilla Firefox-Erweiterungen im Zusammenhang mit Kryptowährungs-Wallets. Sein ursprüngliches Ziel waren 32 Mit Kryptowährung verknüpfte Chrome Wallet-Erweiterungen, gefolgt von 9 Edge-Wallet-Erweiterungen, und 11 Firefox-Wallet-Erweiterungen. Das Folgende sind Procmon-Ausgaben, die die Versuche von LOBSHOT zeigen, auf die besagten Wallet-Erweiterungen zuzugreifen.
Abschließend
Bedrohungsgruppen setzen ständig Malvertising-Strategien ein, um echte Software mit Hintertüren zu verschleiern, wie LOBSHOT. Trotz der täuschend geringen Größe dieser Art von Malware, Sie verfügen über umfangreiche Funktionen, die Bedrohungsakteure in ihren ersten Zugangsphasen unterstützen, gewährt ihnen voll, interaktive Fernbedienung. Die Forscher waren Beobachtung frischer Proben dieser Familie jede Woche, und gehen davon aus, dass es in absehbarer Zukunft weit verbreitet sein wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: