LOBSHOT-Malware verbreitet sich über Google Ads und gibt sich als authentische Remote-Management-Software aus

Anfang dieses Jahres berichteten mehrere Cybersicherheitsforscher von einem Anstieg von Bedrohungsakteuren, die Google Ads nutzen, um Malware in den Suchergebnissen zu verbreiten.

Sicherheitsforscher entdeckten eine neue Malware namens LOBSHOT, die über Google Ads verteilt wird, die es Bedrohungsakteuren ermöglichen, vorsichtig das infizierte Windows-Gerät über hVNC zu übernehmen.

Nun, hVNC ist Hidden Virtual Network Computing, ein berechneter Weg für die Malware, die Maschine ohne das Wissen des Opfers zu kontrollieren.

Die Google Ads-Kampagne gab sich als zahlreiche Websites wie Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus und mehr Apps aus.

Obwohl diese Websites Malware anstelle der tatsächlichen Anwendungen verbreiteten, umfasst die verteilte Malware RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT und Vidar.

Ein Bericht der Sicherheitsfirma Elastic Security Labs erwähnt, dass die LOBSHOT-Malware über Google Ads verbreitet wurde, und diese Anzeigenkampagnen bewarben authentische AnyDesk-Remote-Management-Software, führten jedoch zur gefälschten Anydisk-Website unter https://www.amydecke[.]website.

Die Website drängt eine bösartige MSI-Datei, die einen Powershell-Befehl ausführt, um eine DLL von download-cdn[., a com] herunterzuladen, einer Domain, die tatsächlich mit der TA505/Clop-Ransomware-Gruppe verbunden ist.

Lesen: Evil Extractor, ein Datendiebstahl-Tool, das in den USA und Europa Chaos verursacht

Obwohl, laut dem Bedrohungsforscher von Proofpoint, Tommy Majdar, Bleeping Computer mitteilte, dass die Domain in der Vergangenheit ihren Eigentümer gewechselt hat, ist jetzt nicht bekannt, ob TA505 sie noch verwendet oder nicht.

Jetzt ist die heruntergeladene DLL-Datei tatsächlich die LOBSHOT-Malware, und sie wird im C:/ProgramData-Ordner gespeichert und dann von RunDLL.32.exe ausgeführt.

Elastic Security Labs erwähnt: “Wir haben seit letztem Juli über 500 LOBSHOT-Malware-Proben beobachtet. Die Proben, die wir beobachtet haben, lagen als 32-Bit-DLLs oder 32-Bit-Executables vor, die typischerweise zwischen 93 KB und 124 KB lagen“.

Sobald die Malware ausgeführt wird, überprüft sie, ob die Sicherheitssoftware, d.h. Microsoft Defender, läuft und beendet, falls erkannt, die Ausführung, um nicht entdeckt zu werden.

Wenn der Defender jedoch nicht erkannt wird, konfiguriert die Malware die Registrierungseinträge, um automatisch zu starten, wenn sie sich bei Windows anmeldet, und überträgt Systeminformationen vom infizierten Gerät, einschließlich der laufenden Prozesse.

Danach überprüft die Malware auch neun Microsoft Edge-Wallet-Erweiterungen, zweiunddreißig Chrome-Kryptowährungs-Wallets und elf Firefox-Wallet-Erweiterungen.

Nachdem die Erweiterungen aufgelistet wurden, führt die Malware dann eine Datei im C:/Program Data aus. Obwohl die Datei in ihrer Analyse nicht vorhanden ist, ist sich die Sicherheitsfirma nicht sicher, ob die Datei zum Stehlen von Daten oder aus einem anderen Motiv verwendet wird.

Das Stehlen von Kryptowährungserweiterungen ist jedoch ziemlich verbreitet; die Sicherheitsfirma Elastic Labs entdeckte, dass die LOBSHOT-Malware hVNC-Module enthielt, die es den Bedrohungsakteuren ermöglichen, auf die infizierte Maschine still zuzugreifen.

Laut den Elastic Security Labs startet die Malware ein hVNC-Modul, das es den Bedrohungsakteuren ermöglicht, den versteckten Desktop mit der Maus und der Tastatur der Maschine zu steuern, als ob die Maschine direkt vor ihnen wäre.

Nun, an diesem Punkt beginnt das Gerät des Opfers, Bildschirmaufzeichnungen zu senden, die den versteckten Desktop an einen lauschenden Client übertragen, der von den Bedrohungsakteuren kontrolliert wird, sagt die Sicherheitsfirma.

Darüber hinaus kommuniziert der Bedrohungsakteur dann mit dem Client, indem er die Tastatur steuert, die Maus bewegt und Tasten drückt. Diese Fähigkeiten ermöglichen es dem Angreifer, die vollständige Kontrolle über das infizierte Gerät zu übernehmen.

Darüber hinaus hat der Angreifer durch die Nutzung von hVNC nun die volle Kontrolle über die Maschine, was es ihm ermöglicht, Befehle auszuführen, Daten zu stehlen und Malware weiter zu verbreiten.

Wie wir wissen, wird AnyDesk oder ähnliche Remote-Access-Software häufig verwendet, und die Malware wird wahrscheinlich verwendet, um den ersten Zugriff auf die Unternehmensnetzwerke zu erhalten und sich dann auf andere Maschinen auszubreiten.

Lesen: Phishing-Betrügereien, die US-Steuerzahler mit Remote-Access-Malware ins Visier nehmen