Malware LOBSHOT que se Propaga a través de Google Ads Suplantando Software Auténtico de Gestión Remota

A principios de este año, varios investigadores de ciberseguridad informaron un aumento en los actores de amenazas que utilizan Google Ads para propagar malware en los resultados de búsqueda.

Los investigadores de seguridad descubrieron un nuevo malware conocido como LOBSHOT, que se está distribuyendo utilizando Google Ads que permiten a los actores de amenazas tomar el control de manera cautelosa del dispositivo Windows infectado mediante el uso de hVNC.

Bueno, hVNC es el cálculo de computación de red virtual oculta, un medio calculado para que el malware controle la máquina sin el conocimiento de la víctima.

La campaña de Google Ads suplantó numerosos sitios web como Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus y más aplicaciones.

Aunque estos sitios web empujaron malware en lugar de distribuir las aplicaciones reales, el malware que se distribuyó incluye RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT y Vidar.

Un informe de la firma de seguridad Elastic Security Labs menciona que el malware LOBSHOT se estaba propagando a través de anuncios de Google, y estas campañas publicitarias promovían el auténtico software de gestión remota AnyDesk, pero luego conducían al sitio web falso Anydisk en https://www.amydecke[.]website.

El sitio web empuja un archivo MSI malicioso que ejecutó un comando de Powershell para descargar un DLL de download -cdn[., a com], un dominio que en realidad está asociado con el grupo de ransomware TA505/Clop.

Leer: Evil Extractor, Herramienta de Robo de Datos que Causa Estragos en EE. UU. y Europa

Aunque, según el investigador de amenazas de Proofpoint, Tommy Majdar, le dijo a Bleeping Computer que el dominio ha cambiado de propietario en el pasado, por lo que no se sabe ahora si TA505 todavía lo está utilizando o no.

Ahora, el archivo DLL de descarga es en realidad el malware LOBSHOT, y se guardará en la carpeta C:/ProgramData y luego se ejecutará mediante RunDLL.32.exe.

Elastic Security Labs menciona, “Hemos observado más de 500 muestras de malware LOBSHOT desde julio pasado. Las muestras que hemos observado se han presentado como DLL de 32 bits o ejecutables de 32 bits que generalmente oscilan entre 93 KB y 124 KB”.

Una vez que se ejecuta el malware, verifica si el software de seguridad, es decir, Microsoft Defender, está en funcionamiento y, si se detecta, finaliza la ejecución para dejar de ser detectado.

Sin embargo, si no se detecta el defensor, entonces el malware configurará entradas del Registro para iniciarse automáticamente al iniciar sesión en Windows y transferir información del sistema desde el dispositivo infectado, que incluye procesos en ejecución.

Después de eso, el malware también verifica nueve extensiones de billetera de Microsoft Edge, treinta y dos billeteras de criptomonedas de Chrome y once extensiones de billetera de Firefox.

Ahora, después de listar las extensiones, el malware ejecuta un archivo en C:/Program Data. Aunque, el archivo no está presente en su análisis, por lo que la firma de seguridad no está segura de si el archivo se utiliza para robar datos o cualquier otro motivo.

Sin embargo, robar extensiones de criptomonedas es bastante común; la firma de seguridad Elastic Labs descubrió que el malware LOBSHOT incluía módulos hVNC que luego permiten a los actores de amenazas acceder a la máquina infectada en silencio.

Según Elastic Security Labs, el malware lanza un módulo hVNC que permite a los actores de amenazas controlar el escritorio oculto utilizando el mouse y el teclado de la máquina como si la máquina estuviera frente a ellos.

Bueno, en este punto, el dispositivo de la víctima comienza a enviar grabaciones de pantalla, que representan el escritorio oculto a un cliente escuchando que está siendo controlado por los actores de amenazas, dice la firma de seguridad.

Además, el actor de amenazas luego se comunica con el cliente controlando el teclado, moviendo el mouse y haciendo clic en botones. Estas habilidades permiten al atacante tomar el control total del dispositivo infectado.

Además, al utilizar el hVNC, el atacante ahora tiene control total sobre la máquina, lo que les permite ejecutar comandos, robar datos y desplegar malware adicional.

Como sabemos, AnyDesk o software similar de acceso remoto se utiliza comúnmente, y el malware probablemente se utiliza para obtener acceso inicial a las redes corporativas y luego propagarse a otras máquinas.

Leer: Estafas de Phishing que Apuntan a Contribuyentes de EE. UU. con Malware de Acceso Remoto