LOBSHOT-Malware
Es wurde festgestellt, dass eine neue Malware-Bedrohung namens LOBSHOT über Google Ads verbreitet wird und Windows-Geräte mit hVNC infizieren kann. Die Malware wurde von Cybersicherheitsforschern beobachtet, die durch Anzeigen beworben wurden, die anscheinend für die legitime Fernverwaltungssoftware AnyDesk bestimmt waren. Die schädlichen Anzeigen führen die Benutzer jedoch stattdessen auf eine gefälschte Website. Diese Seite, „amydeecke.website“, pusht eine bösartige MSI-Datei, die wiederum einen PowerShell-Befehl ausführt. Ziel ist es, eine DLL von download-cdn[.]com herunterzuladen, einer Domain, die zuvor mit den cyberkriminellen Aktivitäten der TA505/Clop-Ransomware-Gruppe in Verbindung gebracht wurde.
Die heruntergeladene DLL-Datei ist die LOBSHOT-Malware und wird im Ordner C:\ProgramData gespeichert, wo sie von RunDLL32.exe ausgeführt wird. Laut einem Bericht, der Details über LOBSHOT enthüllte, haben die Forscher seit Juli 2022 über 500 einzigartige LOBSHOT-Samples beobachtet. Die identifizierten Samples werden typischerweise als 32-Bit-DLLs oder ausführbare 32-Bit-Dateien mit einer Größe zwischen 93 KB und 124 KB kompiliert. Nach der Ausführung auf den verletzten Geräten prüft LOBSHOT, ob Microsoft Defender ausgeführt wird, und beendet die Ausführung, falls dies erkannt wird.
Inhaltsverzeichnis
Cyberkriminelle nutzen Google Ads aus, um Malware-Bedrohungen zu verbreiten
Cybersicherheitsexperten haben einen erheblichen Anstieg der Nutzung von Google-Anzeigen durch Bedrohungsakteure beobachtet, um Malware über Suchergebnisse zu verbreiten. Die böswilligen Werbekampagnen umfassten die Nachahmung verschiedener Websites und legitimer Softwareprodukte wie 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus und mehrere andere Anwendungen.
Trotz des durch die Anzeigen vermittelten Eindrucks der Legitimität sind die Websites, auf die sie umleiten, tatsächlich darauf ausgelegt, Malware zu verbreiten, darunter Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT und die Royal Ransomware , anstatt echte Anwendungen bereitzustellen.
Die LOBSHOT-Malware zielt auf Kryptowährungserweiterungen und Wallets ab
Wenn LOBSHOT keine Anzeichen für die Anwesenheit von Microsoft Defender findet, fährt es mit seiner Drohprogrammierung fort. Die Bedrohung konfiguriert automatisch Registrierungseinträge, um sicherzustellen, dass sie bei jedem Windows-Start gestartet wird. LOBSHOT sammelt und beginnt dann mit der Übertragung von Systeminformationen, einschließlich aller laufenden Prozesse, vom infizierten Gerät. Darüber hinaus sucht die Malware nach 32 Wallet-Erweiterungen für Chrome, neun Edge-Wallet-Erweiterungen und 11 Firefox-Wallet-Erweiterungen.
Beim Erkennen dieser Erweiterungen führt die Malware eine Datei im Ordner C:\ProgramData aus. Die Forscher sind sich jedoch nicht sicher, ob der Zweck der Datei darin besteht, Erweiterungsdaten oder eine andere schädliche Aktion zu extrahieren.
Obwohl das Sammeln von Kryptowährungserweiterungen ein häufiges Ziel von Malware ist, hat die LOBSHOT-Malware auch ein hVNC-Modul in ihre Struktur integriert. Dieses Modul ermöglicht Angreifern den diskreten Fernzugriff auf ein infiziertes Gerät.
Die LOBSHOT-Malware bietet Fernzugriff auf die angegriffenen Geräte
Die Fähigkeit, einen Windows-Desktop-Computer ohne Wissen des Opfers fernzusteuern, wird durch das Modul hVNC (hidden virtual network computing) ermöglicht.
Die als LOBSHOT bekannte Malware enthält ein hVNC-Modul, das es den Angreifern ermöglicht, den versteckten Desktop mit Tastatur und Maus so zu manipulieren, als ob sie physisch davor stünden.
Sobald das Modul aktiviert ist, beginnt der Computer des Opfers mit der Übertragung von Screenshots des versteckten Desktops an einen lauschenden Client, der vom Angreifer kontrolliert wird. Der Angreifer kann mit dem Client interagieren, indem er die Tastatur manipuliert, auf Schaltflächen klickt und die Maus bewegt, wodurch er die vollständige Fernsteuerung des Geräts erhält.
Mit dem von hVNC gewährten vollen Zugriff können die Bedrohungsakteure verschiedene Aktivitäten ausführen, z. B. Befehle ausführen, Daten stehlen und zusätzliche Malware-Payloads bereitstellen.
