Malware LOBSHOT se propage via Google Ads en usurpant des logiciels de gestion à distance authentiques

Plus tôt cette année, plusieurs chercheurs en cybersécurité ont signalé une augmentation des acteurs malveillants utilisant Google Ads pour propager des logiciels malveillants dans les résultats de recherche.

Les chercheurs en sécurité ont découvert un nouveau malware connu sous le nom de LOBSHOT, qui est distribué via Google Ads permettant aux acteurs malveillants de prendre le contrôle de l’appareil Windows infecté en utilisant hVNC.

Eh bien, hVNC, ou Hidden Virtual Network computing, est un moyen calculé pour le malware de contrôler la machine sans que la victime ne le sache.

La campagne Google Ads a usurpé de nombreux sites Web tels que Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus et d’autres applications.

Bien que ces sites Web aient diffusé des logiciels malveillants au lieu de distribuer les applications réelles, le malware distribué comprend RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT et Vidar.

Un rapport de la société de sécurité Elastic Security Labs mentionne que le malware LOBSHOT était propagé par le biais de publicités Google, et ces campagnes publicitaires promouvaient un logiciel de gestion à distance authentique AnyDesk, mais ont ensuite conduit au faux site Web Anydisk à https://www.amydecke[.]website.

Le site Web pousse un fichier MSI malveillant qui exécute une commande Powershell pour télécharger un DLL depuis download -cdn[., a com], un domaine en réalité associé au groupe de ransomware TA505/Clop.

Lire : Evil Extractor, un outil de vol de données causant des ravages aux États-Unis et en Europe

Cependant, selon le chercheur en menaces de Proofpoint, Tommy Majdar, a déclaré à Bleeping Computer que le domaine avait changé de propriétaire dans le passé, donc il n’est pas connu maintenant si le TA505 l’utilise encore ou non.

Maintenant, le fichier DLL téléchargé est en réalité le malware LOBSHOT, et il sera enregistré dans le dossier C:/ProgramData et ensuite exécuté par RunDLL.32.exe.

Elastic Security Labs mentionne, “Nous avons observé plus de 500 échantillons de malware LOBSHOT depuis juillet dernier. Les échantillons que nous avons observés se sont conformés en tant que DLL 32 bits ou exécutables 32 bits typiquement allant de 93 Ko à 124 Ko“.

Une fois le malware exécuté, il vérifie si le logiciel de sécurité, c’est-à-dire Microsoft Defender, est en cours d’exécution et, s’il est détecté, met fin à l’exécution pour éviter d’être détecté.

Cependant, si le défenseur n’est pas détecté, alors le malware configurera des entrées de registre pour démarrer automatiquement lors de la connexion à Windows et transférera des informations système depuis l’appareil infecté, ce qui inclut les processus en cours d’exécution.

Après cela, le malware vérifie également neuf extensions de portefeuille Microsoft Edge, trente-deux portefeuilles de cryptomonnaie Chrome et onze extensions de portefeuille Firefox.

Maintenant, après avoir listé les extensions, le malware exécute ensuite un fichier dans C:/Program Data. Bien que le fichier ne soit pas présent dans leur analyse, la société de sécurité n’est pas sûre de savoir si le fichier est utilisé pour voler des données ou pour un autre motif.

Cependant, le vol d’extensions de cryptomonnaie est assez courant ; la société de sécurité Elastic Labs a découvert que le malware LOBSHOT incluait des modules hVNC qui permettent ensuite aux acteurs malveillants d’accéder silencieusement à la machine infectée.

Selon Elastic Security Labs, le malware lance un module hVNC qui permet aux acteurs malveillants de contrôler le bureau caché en utilisant la souris et le clavier de la machine comme si la machine était devant eux.

Eh bien, à ce stade, l’appareil de la victime commence à envoyer des enregistrements d’écran, qui représentent le bureau caché à un client à l’écoute contrôlé par les acteurs malveillants, déclare la société de sécurité.

De plus, l’acteur malveillant communique ensuite avec le client en contrôlant le clavier, en déplaçant la souris et en cliquant sur des boutons. Ces capacités permettent à l’attaquant de prendre le contrôle total de l’appareil infecté.

De plus, en utilisant l’hVNC, l’attaquant a maintenant un contrôle total sur la machine, lui permettant d’exécuter des commandes, de voler des données et de déployer davantage de logiciels malveillants.

Comme nous le savons, AnyDesk ou des logiciels d’accès à distance similaires sont couramment utilisés, et le malware est probablement utilisé pour obtenir un accès initial aux réseaux d’entreprise et ensuite se propager à d’autres machines.

Lire : Escroqueries de phishing ciblant les contribuables américains avec des logiciels malveillants d’accès à distance