Los investigadores de ciberseguridad descubrieron recientemente varias campañas maliciosas que usaban anuncios de Google para diseminar malware como Gozi., Línea roja, Vidar, huelga de cobalto, SectorRAT, y Royal Ransomware, enmascarándolos como aplicaciones legítimas como 7-ZIP, VLC, OBS, Notepad ++ , CCleaner, TradingView, y rufus. Una pieza particular de malware, llamado 'LOBSHOT', es especialmente peligroso ya que contiene un hVNC oculto que permite a los atacantes tomar el control de los dispositivos Windows infectados sin ser detectados.
Campaña de malware LOBSHOT descubierta en la naturaleza
Elastic Security Labs y la comunidad de investigación detectaron un fuerte aumento en actividad de publicidad maliciosa. Los atacantes utilizaron una estratagema detallada de sitios web fraudulentos, Anuncios de Google, y puertas traseras incrustadas en lo que parecían ser instaladores legítimos.
En el corazón de LOBSHOT está su hVNC (Computación de red virtual oculta) componente. Este aspecto permite a los atacantes conectarse directamente a la máquina sin levantar sospechas., y es una característica común de otras familias maliciosas. Te explicamos la cadena de infección de LOBSHOT y sus características, así como proporcionar un extractor de configuración y firma YARA para ello.
La empresa de ciberseguridad vinculó el software malicioso a un grupo de amenazas reconocido llamado TA505, como resultado de un estudio de las infraestructuras tradicionalmente asociadas al grupo. TA505 es un sindicato criminal electrónico ilegal que tiene una motivación financiera y ha sido identificado como Evil Corp., FIN11, e Indrik Spider en ciertos casos.
El malware LOBSHOT utiliza una resolución de importación dinámica, análisis anti-emulación, y encriptación de cadenas para ocultar su existencia a los programas de seguridad. Después de ser implantado, realiza cambios en el Registro de Windows para permanecer persistente y acceder ilegítimamente a datos de más de 50 complementos de billetera de criptomonedas utilizados en navegadores de Internet como Google Chrome, Microsoft Edge, y Mozilla Firefox.
LOBSHOT también es un ladrón de información
El malware también cuenta con una capacidad de robo de información mediante el lanzamiento de un nuevo hilo, centrándose en Google Chrome, Microsoft Edge, y extensiones de Mozilla Firefox relacionadas con monederos de criptomonedas. Su objetivo inicial eran 32 Extensiones de billetera de Chrome asociadas con criptomonedas, seguido por 9 Extensiones de billetera Edge, y 11 Extensiones de billetera de Firefox. Los siguientes son resultados de Procmon que muestran los intentos de LOBSHOT de acceder a dichas extensiones de billetera.
En conclusión
Los grupos de amenazas emplean persistentemente estrategias de publicidad maliciosa para disfrazar el software genuino con puertas traseras., como LOBSHOT. A pesar del tamaño engañosamente pequeño de estos tipos de malware, llevan funcionalidades sustanciales que ayudan a los actores de amenazas en sus etapas iniciales de acceso, otorgándoles por completo, control remoto interactivo. Los investigadores han sido observando muestras frescas de esta familia cada semana, y anticipar que seguirá siendo frecuente en el futuro previsible.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: