I ricercatori di sicurezza informatica hanno recentemente scoperto diverse campagne dannose che utilizzavano gli annunci di Google per diffondere malware come Gozi, Linea rossa, Vidar, Cobalt sciopero, SettoRAT, e ransomware reale, mascherandoli come applicazioni legittime come 7-ZIP, VLC, OSB, Notepad ++ , CCleaner, TradingView, e Rufo. Un particolare malware, chiamato 'LOBSHOT', è particolarmente pericoloso in quanto contiene un hVNC nascosto che consente agli aggressori di assumere il controllo dei dispositivi Windows infetti senza essere rilevati.
Campagna malware LOBSHOT scoperta in natura
Elastic Security Labs e la comunità di ricerca hanno rilevato un forte aumento di attività di malvertising. Gli aggressori hanno utilizzato uno stratagemma dettagliato di siti Web fraudolenti, Annunci Google, e backdoor incorporate in quelli che sembravano essere installatori legittimi.
Al centro di LOBSHOT c'è il suo hVNC (Calcolo di reti virtuali nascoste) componente. Questo aspetto consente agli aggressori di connettersi direttamente alla macchina senza destare sospetti, ed è una caratteristica comune di altre famiglie dannose. Spiegheremo la catena di infezione di LOBSHOT e le sue caratteristiche, oltre a fornire una firma YARA e un estrattore di configurazione per esso.
La società di sicurezza informatica ha collegato il file software dannoso a un gruppo di minacce riconosciuto denominato TA505, frutto di uno studio dell'infrastruttura tradizionalmente associata al gruppo. TA505 è un sindacato criminale elettronico illegale motivato finanziariamente ed è stato identificato come Evil Corp, FIN11, e Indrik Spider in alcuni casi.
Il malware LOBSHOT utilizza la risoluzione di importazione dinamica, analisi anti-emulazione, e la crittografia delle stringhe per nascondere la sua esistenza ai programmi di sicurezza. Dopo essere stato impiantato, apporta modifiche al registro di Windows per rimanere persistenti e accedere illegalmente ai dati da più di 50 componenti aggiuntivi del portafoglio di criptovaluta utilizzati nei browser Internet come Google Chrome, Microsoft Edge, e Mozilla Firefox.
LOBSHOT è anche un ladro di informazioni
Il malware presenta anche una capacità di furto di informazioni avviando un nuovo thread, concentrandosi su Google Chrome, Microsoft Edge, ed estensioni di Mozilla Firefox relative ai portafogli di criptovaluta. Il suo obiettivo iniziale era 32 Estensioni del portafoglio di Chrome associate alla criptovaluta, seguito da 9 Estensioni del portafoglio Edge, e 11 Estensioni del portafoglio per Firefox. Di seguito sono riportati gli output di Procmon che mostrano i tentativi di LOBSHOT di accedere alle suddette estensioni del portafoglio.
In conclusione
I gruppi di minacce impiegano costantemente strategie di malvertising per mascherare il software autentico con backdoor, come LOBSHOT. Nonostante le dimensioni ingannevolmente ridotte di questi tipi di malware, portano funzionalità sostanziali che assistono gli attori delle minacce nelle loro fasi iniziali di accesso, concedendoli integralmente, telecomando interattivo. I ricercatori sono stati osservando campioni freschi di questa famiglia ogni settimana, e prevedere che rimarrà prevalente nel prossimo futuro.