Pesquisadores de segurança cibernética descobriram recentemente várias campanhas maliciosas que usavam anúncios do Google para disseminar malware como o Gozi, Linha Vermelha, Vidar, Cobalt greve, SectoRAT, e Royal Ransomware, mascarando-os como aplicativos legítimos, como 7-ZIP, VLC, OBS, Notepad ++, CCleaner, TradingView, e Rufus. Um pedaço específico de malware, chamado 'LOBSHOT', é especialmente perigoso, pois contém um hVNC oculto que permite que invasores assumam o controle de dispositivos Windows infectados sem detecção.
Campanha de malware LOBSHOT descoberta na natureza
Os Elastic Security Labs e a comunidade de pesquisa detectaram um aumento acentuado na atividade de malvertising. Os invasores utilizaram uma manobra detalhada de sites fraudulentos, Anúncios do Google, e backdoors embutidos no que pareciam ser instaladores legítimos.
No coração do LOBSHOT está o hVNC (Computação de rede virtual oculta) componente. Esse aspecto permite que os invasores se conectem diretamente à máquina sem levantar suspeitas, e é uma característica comum de outras famílias maliciosas. Explicaremos a cadeia de infecção do LOBSHOT e suas características, bem como fornecer uma assinatura YARA e extrator de configuração para ele.
A empresa de segurança cibernética vinculou o software malicioso para um grupo de ameaças reconhecido chamado TA505, como resultado de um estudo da infraestrutura tradicionalmente associada ao grupo. TA505 é um sindicato criminoso eletrônico ilegal que tem motivação financeira e foi identificado como Evil Corp, FIN11, e Indrik Spider em certas ocorrências.
O malware LOBSHOT utiliza resolução de importação dinâmica, análise anti-emulação, e criptografia de string para ocultar sua existência de programas de segurança. Depois de implantado, faz alterações no Registro do Windows para permanecer persistente e acessar dados de forma ilegítima de mais de 50 suplementos de carteira de criptomoedas utilizados em navegadores de internet como o Google Chrome, Microsoft borda, e Mozilla Firefox.
LOBSHOT também é um ladrão de informações
O malware também apresenta uma capacidade de roubo de informações ao lançar um novo tópico, focando no Google Chrome, Microsoft borda, e extensões do Mozilla Firefox relacionadas a carteiras de criptomoedas. Seu alvo inicial eram 32 Extensões de carteira do Chrome associadas à criptomoeda, Seguido por 9 Extensões de carteira de borda, e 11 Extensões de carteira do Firefox. A seguir estão as saídas do Procmon exibindo as tentativas do LOBSHOT de acessar as referidas extensões de carteira.
Em conclusão
Grupos de ameaças empregam persistentemente estratégias de malvertising para disfarçar software genuíno com backdoors, como LOBSHOT. Apesar do tamanho enganosamente pequeno desses tipos de malware, eles carregam funcionalidades substanciais que auxiliam os agentes de ameaças em seus estágios iniciais de acesso, concedendo-lhes plena, controle remoto interativo. Os pesquisadores foram observando amostras frescas desta família toda semana, e antecipar que continuará prevalecendo no futuro previsível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: