Accueil > Nouvelles Cyber > LOBSHOT: un secret, Logiciels malveillants voleurs d'informations en liberté
CYBER NOUVELLES

LOBSHOT: un secret, Logiciels malveillants voleurs d'informations en liberté

Des chercheurs en cybersécurité ont récemment découvert plusieurs campagnes malveillantes qui utilisaient des publicités Google pour diffuser des logiciels malveillants comme Gozi, Ligne rouge, Vidar, cobalt grève, SecteurRAT, et Royal Ransomware, en les masquant comme des applications légitimes telles que 7-ZIP, VLC, OBS, Notepad ++, CCleaner, TradingView, et Rufus. Un logiciel malveillant en particulier, appelé 'LOBSHOT', est particulièrement dangereux car il contient un hVNC caché qui permet aux attaquants de prendre le contrôle des appareils Windows infectés sans détection.

LOBSHOT- un secret, Logiciels malveillants voleurs d'informations en liberté

La campagne de logiciels malveillants LOBSHOT découverte dans la nature

Elastic Security Labs et la communauté des chercheurs ont détecté une forte augmentation activité de publicité malveillante. Les attaquants ont utilisé un stratagème détaillé de sites Web frauduleux, Annonces Google, et des portes dérobées intégrées dans ce qui semblait être des installateurs légitimes.

Au cœur de LOBSHOT se trouve son hVNC (Informatique en réseau virtuel caché) composant. Cet aspect permet aux attaquants de se connecter directement à la machine sans éveiller les soupçons, et est une caractéristique commune à d'autres familles malveillantes. Nous expliquerons la chaîne d'infection LOBSHOT et ses caractéristiques, ainsi que fournir une signature YARA et un extracteur de configuration pour celui-ci.

La société de cybersécurité a lié le logiciel malveillant à un groupe de menace reconnu nommé TA505, à la suite d'une étude de l'infrastructure traditionnellement associée au groupe. TA505 est un syndicat criminel électronique illégal qui a des motivations financières et a été identifié comme Evil Corp, FIN11, et Indrik Spider dans certains cas.




Le malware LOBSHOT utilise une résolution d'importation dynamique, analyse anti-émulation, et chiffrement de chaîne pour dissimuler son existence aux programmes de sécurité. Après avoir été implanté, il apporte des modifications au registre Windows pour rester persistant et accéder illégitimement aux données de plus de 50 compléments de portefeuille de crypto-monnaie utilisés dans les navigateurs Internet tels que Google Chrome, Microsoft bord, et Mozilla Firefox.

LOBSHOT est aussi un voleur d'informations

Le malware dispose également d'une capacité de vol d'informations en lançant un nouveau fil, se concentrer sur Google Chrome, Microsoft bord, et les extensions Mozilla Firefox liées aux portefeuilles de crypto-monnaie. Son objectif initial était 32 Extensions de portefeuille Chrome associées à la crypto-monnaie, suivi par 9 Extensions de portefeuille Edge, et 11 Extensions de portefeuille Firefox. Voici les sorties Procmon montrant les tentatives de LOBSHOT d'accéder auxdites extensions de portefeuille.

En conclusion

Les groupes de menaces utilisent constamment des stratégies de publicité malveillante pour dissimuler des logiciels authentiques avec des portes dérobées, comme LOBSHOT. Malgré la taille trompeuse de ces types de logiciels malveillants, ils comportent des fonctionnalités substantielles qui aident les acteurs de la menace dans leurs premières étapes d'accès, leur accordant pleinement, télécommande interactive. Les chercheurs ont été observer des échantillons frais de cette famille chaque semaine, et anticiper qu'il restera répandu dans un avenir prévisible.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord