Des chercheurs en cybersécurité ont récemment découvert plusieurs campagnes malveillantes qui utilisaient des publicités Google pour diffuser des logiciels malveillants comme Gozi, Ligne rouge, Vidar, cobalt grève, SecteurRAT, et Royal Ransomware, en les masquant comme des applications légitimes telles que 7-ZIP, VLC, OBS, Notepad ++, CCleaner, TradingView, et Rufus. Un logiciel malveillant en particulier, appelé 'LOBSHOT', est particulièrement dangereux car il contient un hVNC caché qui permet aux attaquants de prendre le contrôle des appareils Windows infectés sans détection.
La campagne de logiciels malveillants LOBSHOT découverte dans la nature
Elastic Security Labs et la communauté des chercheurs ont détecté une forte augmentation activité de publicité malveillante. Les attaquants ont utilisé un stratagème détaillé de sites Web frauduleux, Annonces Google, et des portes dérobées intégrées dans ce qui semblait être des installateurs légitimes.
Au cœur de LOBSHOT se trouve son hVNC (Informatique en réseau virtuel caché) composant. Cet aspect permet aux attaquants de se connecter directement à la machine sans éveiller les soupçons, et est une caractéristique commune à d'autres familles malveillantes. Nous expliquerons la chaîne d'infection LOBSHOT et ses caractéristiques, ainsi que fournir une signature YARA et un extracteur de configuration pour celui-ci.
La société de cybersécurité a lié le logiciel malveillant à un groupe de menace reconnu nommé TA505, à la suite d'une étude de l'infrastructure traditionnellement associée au groupe. TA505 est un syndicat criminel électronique illégal qui a des motivations financières et a été identifié comme Evil Corp, FIN11, et Indrik Spider dans certains cas.
Le malware LOBSHOT utilise une résolution d'importation dynamique, analyse anti-émulation, et chiffrement de chaîne pour dissimuler son existence aux programmes de sécurité. Après avoir été implanté, il apporte des modifications au registre Windows pour rester persistant et accéder illégitimement aux données de plus de 50 compléments de portefeuille de crypto-monnaie utilisés dans les navigateurs Internet tels que Google Chrome, Microsoft bord, et Mozilla Firefox.
LOBSHOT est aussi un voleur d'informations
Le malware dispose également d'une capacité de vol d'informations en lançant un nouveau fil, se concentrer sur Google Chrome, Microsoft bord, et les extensions Mozilla Firefox liées aux portefeuilles de crypto-monnaie. Son objectif initial était 32 Extensions de portefeuille Chrome associées à la crypto-monnaie, suivi par 9 Extensions de portefeuille Edge, et 11 Extensions de portefeuille Firefox. Voici les sorties Procmon montrant les tentatives de LOBSHOT d'accéder auxdites extensions de portefeuille.
En conclusion
Les groupes de menaces utilisent constamment des stratégies de publicité malveillante pour dissimuler des logiciels authentiques avec des portes dérobées, comme LOBSHOT. Malgré la taille trompeuse de ces types de logiciels malveillants, ils comportent des fonctionnalités substantielles qui aident les acteurs de la menace dans leurs premières étapes d'accès, leur accordant pleinement, télécommande interactive. Les chercheurs ont été observer des échantillons frais de cette famille chaque semaine, et anticiper qu'il restera répandu dans un avenir prévisible.