サイバーセキュリティ研究者は最近、Google 広告を使用して Gozi のようなマルウェアを広める悪意のあるキャンペーンをいくつか発見しました。, レッドライン, ヴィダル, コバルトストライク, セクターラット, および Royal ランサムウェア, それらを 7-ZIP などの正当なアプリケーションとしてマスキングする, VLC, OBS, メモ帳++, CCleaner, TradingView, とルーファス. 特定のマルウェア, 「ロブショット」と呼ばれる, 攻撃者が感染した Windows デバイスを検出せずに制御できる隠し hVNC が含まれているため、特に危険です。.
野生で発見された LOBSHOT マルウェア キャンペーン
Elastic Security Labs と研究コミュニティは、 マルバタイジング活動. 攻撃者は、詐欺 Web サイトの詳細な策略を利用しました, Google広告, 正規のインストーラと思われるものに埋め込まれたバックドア.
LOBSHOT の心臓部はその hVNC です (隠れた仮想ネットワーク コンピューティング) 成分. この側面により、攻撃者は疑われることなくマシンに直接接続できます, これは、他の悪意のあるファミリーに共通する特徴です。. LOBSHOTの感染連鎖とその特徴について解説します, YARA 署名と構成エクストラクタを提供するだけでなく、.
サイバーセキュリティ会社は、 悪意のあるソフトウェア TA505 という名前の認識された脅威グループに, グループに伝統的に関連付けられているインフラストラクチャの研究の結果として. TA505 は、金銭目的の違法な電子犯罪シンジケートであり、Evil Corp として識別されています。, FIN11, および特定の状況でインドリク スパイダー.
LOBSHOT マルウェアは、動的インポート解決を利用します, アンチエミュレーション分析, セキュリティプログラムからその存在を隠すための文字列暗号化. 移植後, Windows レジストリに変更を加えて、永続的な状態を維持し、複数の場所からデータに不正にアクセスします。 50 Google Chrome などのインターネット ブラウザで使用される暗号通貨ウォレット アドイン, マイクロソフトエッジ, およびMozillaFirefox.
LOBSHOT も Infostealer です
このマルウェアは、新しいスレッドを起動して情報を盗む機能も備えています。, Google Chrome を中心に, マイクロソフトエッジ, および暗号通貨ウォレットに関連する Mozilla Firefox 拡張機能. その当初の目標は 32 暗号通貨に関連する Chrome ウォレット拡張機能, に続く 9 エッジ ウォレット エクステンション, と 11 Firefox ウォレット拡張機能. 以下は、前述のウォレット拡張機能にアクセスしようとする LOBSHOT の試みを示す Procmon の出力です。.
結論は
脅威グループは、正規のソフトウェアをバックドアで偽装するために、マルバタイジング戦略を執拗に採用しています。, ロブショットなど. これらのタイプのマルウェアは一見するとサイズが小さいにもかかわらず、, これらは、攻撃者の初期アクセス段階を支援する実質的な機能を備えています。, それらを完全に許可する, インタラクティブリモコン. 研究者たちは、 新鮮なサンプルの観察 毎週この家族の, そして、それが予見可能な将来においても蔓延し続けると予想する.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: