Onderzoekers op het gebied van cyberbeveiliging hebben onlangs verschillende kwaadaardige campagnes ontdekt die Google-advertenties gebruikten om malware zoals Gozi te verspreiden, Rode lijn, Vidar, Cobalt Strike, SectorRAT, en koninklijke ransomware, ze maskeren als legitieme applicaties zoals 7-ZIP, VLC, OBS, notepad ++, CCleaner, Handelsweergave, en Rufus. Een bepaald stukje malware, genaamd 'LOBSHOT', is vooral gevaarlijk omdat het een verborgen hVNC bevat waarmee aanvallers de controle over geïnfecteerde Windows-apparaten kunnen overnemen zonder detectie.
LOBSHOT-malwarecampagne ontdekt in het wild
Elastic Security Labs en de onderzoeksgemeenschap ontdekten een sterke stijging in malvertising activiteit. Aanvallers gebruikten een gedetailleerde truc van frauduleuze websites, Google-advertenties, en achterdeurtjes ingebed in wat legitieme installatieprogramma's leken te zijn.
De kern van LOBSHOT is de hVNC (Verborgen virtuele netwerkcomputers) bestanddeel. Dit aspect stelt aanvallers in staat om rechtstreeks verbinding te maken met de machine zonder argwaan te wekken, en is een gemeenschappelijk kenmerk van andere kwaadwillende families. We zullen de LOBSHOT-infectieketen en de kenmerken ervan uitleggen, evenals een YARA-handtekening- en configuratie-extractor ervoor.
Het cyberbeveiligingsbedrijf koppelde de kwaadaardige software aan een erkende dreigingsgroep genaamd TA505, als resultaat van een studie van de infrastructuur die traditioneel verbonden is met de groep. TA505 is een illegaal elektronisch crimineel syndicaat dat financieel gemotiveerd is en is geïdentificeerd als Evil Corp, FIN11, en Indrik Spider in bepaalde gevallen.
De LOBSHOT-malware maakt gebruik van dynamische importresolutie, anti-emulatie analyse, en string-encryptie om het bestaan ervan te verbergen voor beveiligingsprogramma's. Na te zijn geïmplanteerd, het brengt Windows-registerwijzigingen aan om persistent te blijven en onrechtmatig toegang te krijgen tot gegevens van meer dan 50 invoegtoepassingen voor cryptocurrency-portemonnees die worden gebruikt in internetbrowsers zoals Google Chrome, Microsoft Edge, en Mozilla Firefox.
LOBSHOT is ook een Infostealer
De malware beschikt ook over een mogelijkheid om informatie te stelen door een nieuwe thread te starten, gericht op Google Chrome, Microsoft Edge, en Mozilla Firefox-extensies gerelateerd aan cryptocurrency-portefeuilles. Het aanvankelijke doelwit was 32 Chrome-portemonnee-extensies die zijn gekoppeld aan cryptocurrency, gevolgd door 9 Edge portemonnee-extensies, en 11 Firefox-portemonnee-extensies. De volgende zijn Procmon-uitvoer die de pogingen van LOBSHOT laat zien om toegang te krijgen tot de genoemde portemonnee-extensies.
Ten slotte
Bedreigingsgroepen passen voortdurend malvertising-strategieën toe om legitieme software te verhullen met achterdeurtjes, zoals LOBSHOT. Ondanks de bedrieglijk kleine omvang van dit soort malware, ze bevatten substantiële functionaliteiten die bedreigingsactoren helpen bij hun eerste toegangsfasen, ze volledig schenken, interactieve afstandsbediening. De onderzoekers zijn geweest observeren van verse monsters wekelijks van dit gezin, en verwacht dat het in de nabije toekomst wijdverbreid zal blijven.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: