Rabatte für mehrere Lizenzen
Computer Security LOBSHOT-Malware durch Malvertising-Untersuchung entdeckt

LOBSHOT-Malware durch Malvertising-Untersuchung entdeckt

Von Mura in Computer Security
Übersetzen Sie in:
Deutsch

Forscher von Elastic Security Labs haben kürzlich bei ihrer gründlichen Untersuchung der Zunahme von Malvertising-Kampagnen eine neue Malware namens LOBSHOT entdeckt. LOBSHOT ist von besonderem Interesse, da es Bedrohungsakteuren versteckten VNC-Zugriff (Virtual Network Computing) auf infizierte Geräte gewährt. Die Forscher fanden auch Verbindungen zwischen der Malware und TA505, einer finanziell motivierten Cyberkriminellengruppe, die für den Einsatz verschiedener Ransomware und Banktrojaner bekannt ist.

Anstieg der Malvertising-Kampagnen

Die Zahl der Malvertising-Kampagnen hat zugenommen, und ihr heimlicher Charakter macht es für Benutzer schwierig, zwischen legitimer und böswilliger Werbung zu unterscheiden. Sicherheitsforscher haben beobachtet, dass dieser Anstieg möglicherweise darauf zurückzuführen ist, dass Bedrohungsakteure Malvertising-as-a-Service verkaufen, was weiter unterstreicht, wie wichtig es ist, bei der Interaktion mit Online-Werbung wachsam zu sein.

Im Rahmen ihrer Untersuchungen beobachteten die Elastic Security Labs einen deutlichen Anstieg von Malvertising-Kampagnen, bei denen Exploit-Kits eingesetzt wurden, um bestimmte Schwachstellen in weit verbreiteten Anwendungen auszunutzen. Diese Kampagnen wurden zunehmend auf mehreren beliebten Websites beobachtet und setzten Millionen von Benutzern potenziellen Bedrohungen aus. In der Regel stoßen Besucher dieser Websites auf Malwerbung, die beim Anklicken auf eine Exploit-Kit-Landingpage weiterleitet, auf der LOBSHOT schließlich auf dem Gerät des Benutzers ausgeführt wird.

TA505 Infrastruktur

TA505 , die Cyberkriminelle, die im Verdacht steht, hinter der Entwicklung und dem Einsatz von LOBSHOT zu stecken, ist seit langem für ihre weitreichenden böswilligen Aktivitäten bekannt. Diese Gruppe ist für ihre gut organisierten und vielfältigen Angriffskampagnen bekannt, die sich insbesondere auf Finanzinstitute als Hauptziele konzentrieren, ihre böswilligen Aktivitäten aber auch auf andere Branchen ausweiten.

Nach der Analyse von LOBSHOT stellten Elastic Security Labs deutliche Überschneidungen zwischen der Infrastruktur der Malware und der zuvor identifizierten TA505-Infrastruktur fest. Die Ähnlichkeit der Angriffsmethoden und der sich überschneidenden Infrastruktur bestätigt die Hypothese, dass TA505 für die Entwicklung und aktive Nutzung von LOBSHOT verantwortlich ist.

Versteckter VNC-Zugriff

Einer der besorgniserregendsten Aspekte von LOBSHOT ist seine Fähigkeit, Bedrohungsakteuren über VNC versteckten Zugriff auf die Geräte der Opfer zu gewähren. Diese spezielle Funktion ermöglicht es Angreifern, unter Umgehung der Zustimmung des Benutzers aus der Ferne auf ein infiziertes Gerät zuzugreifen und vertrauliche Daten ohne Wissen des Benutzers zu überwachen, zu manipulieren und auszuschleusen. Der versteckte VNC-Zugriff macht LOBSHOT zu einem mächtigen und gefährlichen Werkzeug im Arsenal von Cyberkriminellen, insbesondere solchen mit finanziellen Motiven.

Verteilungsmethode

Es wurde beobachtet, dass die Verbreitungsmethode der LOBSHOT-Malware betrügerische Taktiken beinhaltet und Google Ads und gefälschte Websites nutzt, um ahnungslose Opfer anzulocken. Diese Techniken demonstrieren die Raffinesse und Anpassungsfähigkeit der Bedrohungsakteure hinter dieser Malware und machen es für Endbenutzer noch wichtiger, beim Durchsuchen und Anklicken von Werbung vorsichtig zu sein.

Gefälschte Websites durch Google Ads

LOBSHOT wird vor allem über gefälschte Websites verbreitet, die über Google Ads beworben werden. Die Bedrohungsakteure erstellen und verwalten diese gefälschten Websites, die legitime Websites und Dienste nachahmen sollen. Durch die Ausnutzung der Google Ads-Plattform können die Angreifer ihre böswilligen Werbeanzeigen ahnungslosen Nutzern anzeigen, die unter dem Eindruck, sie seien echt, auf die Werbeanzeigen klicken, was zur Installation der LOBSHOT-Malware auf ihren Geräten führt.

Umleiten von Benutzern auf eine gefälschte AnyDesk-Domäne

Neben der Verwendung gefälschter Websites beinhaltet der Verbreitungsprozess der LOBSHOT-Malware auch die Umleitung von Benutzern auf eine gefälschte AnyDesk-Domain. AnyDesk ist eine beliebte Remote-Desktop-Anwendung, auf die sich viele Unternehmen und Einzelpersonen für den Fernzugriff und den Fernsupport verlassen. Die Bedrohungsakteure haben dieses Vertrauen ausgenutzt, indem sie eine fiktive AnyDesk-Domäne erstellt haben, um Benutzer dazu zu verleiten, eine schädliche Version der Software herunterzuladen, bei der es sich in Wirklichkeit um LOBSHOT-Malware handelt. Diese Methode verdeutlicht noch einmal die raffinierten Taktiken dieser Cyberkriminellen, mit denen sie Opfer in die Falle locken und ihre böswilligen Aktivitäten ausführen.

Installation durch kompromittiertes System

In einigen Fällen kann die LOBSHOT-Malware über ein kompromittiertes System auf dem Gerät eines Opfers installiert werden. Dies kann der Fall sein, wenn der Benutzer unwissentlich Inhalte von einer Website besucht oder herunterlädt, die mit der Malware infiziert wurde, oder wenn er zum Ziel einer Spear-Phishing-Kampagne geworden ist. Sobald die Malware erfolgreich in das Gerät des Opfers eingedrungen ist, kann sie dem Bedrohungsakteur versteckten VNC-Zugriff gewähren, der das System dann aus der Ferne steuern und nach Wunsch manipulieren kann.

Die Fähigkeiten von LOBSHOT

LOBSHOT-Malware verfügt über eine Reihe beeindruckender Fähigkeiten, die es ihr ermöglichen, Benutzergeräte zu infiltrieren und auszunutzen. Die Malware konzentriert sich hauptsächlich auf verstecktes Virtual Network Computing (hVNC), das es den Angreifern ermöglicht, infizierte Geräte aus der Ferne zu steuern und auf deren Benutzeroberfläche zuzugreifen. Zu den Kernfunktionen von LOBSHOT gehören:

Hidden Virtual Network Computing (hVNC)

Das Herzstück der Funktionalität von LOBSHOT ist seine Fähigkeit, versteckten VNC-Zugriff auf Opfergeräte bereitzustellen. Durch hVNC erhalten Angreifer eine verdeckte Methode zur Fernsteuerung eines Geräts ohne Zustimmung oder Wissen des Opfers. Die hVNC-Funktion macht LOBSHOT besonders gefährlich, da sie es Angreifern ermöglicht, heimlich auf kompromittierten Geräten präsent zu bleiben und gleichzeitig verschiedene schändliche Aktivitäten auszuführen.

Fernbedienung des Geräts

Die hVNC-Funktionen von LOBSHOT ermöglichen es Angreifern, die vollständige Kontrolle über infizierte Geräte zu übernehmen, Befehle auszuführen, Änderungen vorzunehmen und auf Ressourcen zuzugreifen, als wären sie der legitime Benutzer. Dieses Maß an Kontrolle ermöglicht es den Bedrohungsakteuren, ein breites Spektrum böswilliger Aktivitäten durchzuführen, darunter Datenexfiltration, die Installation zusätzlicher Malware und die Durchführung von Spionagekampagnen. Die Möglichkeit, das Gerät eines Opfers fernzusteuern, unterstreicht die erhebliche Bedrohung, die von LOBSHOT ausgeht.

Vollständige grafische Benutzeroberfläche (GUI)

Die Malware hat außerdem die Möglichkeit, auf die vollständige grafische Benutzeroberfläche (GUI) des Zielgeräts zuzugreifen, was bedeutet, dass der Angreifer visuell mit der Desktop-Umgebung des Geräts interagieren kann. Diese Funktion verleiht der Malware eine weitere Effizienz- und Kontrollebene, indem sie es dem Bedrohungsakteur erleichtert, auf dem kompromittierten Gerät zu navigieren und es zu manipulieren. Der Zugriff auf die vollständige GUI ermöglicht es dem Angreifer, Benutzeraktivitäten zu überwachen, auf vertrauliche Informationen zuzugreifen und Aktionen auszuführen, die dem legitimen Benutzer zugeschrieben werden, was die Schädlichkeit von LOBSHOT noch weiter unterstreicht.

Schadensbegrenzung und Bedenken

LOBSHOT-Malware stellt aufgrund ihrer versteckten VNC-Fähigkeiten und der Verbindung mit finanziell motivierten Bedrohungsakteuren wie TA505 sowohl für einzelne Benutzer als auch für Organisationen erhebliche Bedenken dar. Um diese Bedenken einzudämmen und anzugehen, müssen die potenziellen Risiken verstanden und geeignete Abwehrmaßnahmen umgesetzt sowie strengere Vorschriften für Plattformen wie Google Ads gefordert werden.

Diebstahl von Bank- und Finanzinformationen

Eine der Hauptsorgen im Zusammenhang mit LOBSHOT ist das Potenzial, Bank- und Finanzinformationen von infizierten Geräten zu stehlen. Der versteckte VNC-Zugriff ermöglicht es Angreifern, unbemerkt in Geräte einzudringen, Benutzeraktivitäten zu überwachen und sensible Daten wie Anmeldedaten, Kontonummern und Transaktionsdetails zu erfassen. Solche Informationen können für wirtschaftliche Zwecke ausgenutzt oder für weitere Angriffe wie Credential Stuffing oder Phishing-Kampagnen verwendet werden.

Fordert eine strengere Werberegulierung bei Google

Als Reaktion auf die wachsende Bedrohung durch die Verbreitung von Malware über Google Ads haben mehrere Forscher und Sicherheitsexperten gefordert, dass Alphabet, die Holdinggesellschaft von Google, strengere Vorschriften für die Genehmigung von Werbung einführt. Die Implementierung robusterer Prozesse zur Anzeigenprüfung und Verifizierungsmechanismen kann dazu beitragen, die Verbreitung von Malware wie LOBSHOT zu minimieren und das Risiko zu verringern, dass ahnungslose Benutzer Opfer solcher Bedrohungen werden. In der Zwischenzeit sollten Endbenutzer Vorkehrungen treffen, indem sie die Legitimität der von ihnen besuchten Domain und der heruntergeladenen Software überprüfen.

Wird geladen...