Malware LOBSHOT che si diffonde tramite Google Ads impersonando software di gestione remota autentico

All’inizio di quest’anno, diversi ricercatori di cybersecurity hanno segnalato un aumento degli attori delle minacce che utilizzano Google Ads per diffondere malware nei risultati di ricerca.

I ricercatori di sicurezza hanno scoperto un nuovo malware noto come LOBSHOT, che viene distribuito utilizzando Google Ads che consentono agli attori delle minacce di prendere il controllo dell’ dispositivo Windows infetto tramite hVNC.

Bene, hVNC è Hidden Virtual Network computing, un mezzo calcolato per il malware per controllare la macchina senza la conoscenza della vittima.

La campagna Google Ads ha impersonato numerosi siti web come Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus e altre app.

Sebbene questi siti web abbiano spinto malware invece di distribuire le applicazioni reali, il malware distribuito include RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT e Vidar.

Un rapporto della società di sicurezza Elastic Security Labs menziona che il malware LOBSHOT veniva diffuso tramite annunci Google, e queste campagne pubblicitarie promuovevano il software di gestione remota autentico AnyDesk, ma poi portavano al falso sito web Anydisk su https://www.amydecke[.]website.

Il sito web spinge un file MSI malevolo che esegue un comando Powershell per scaricare un DLL da download -cdn[., a com], un dominio effettivamente associato al gruppo di ransomware TA505/Clop.

Leggi: Evil Extractor, strumento di furto di dati che causa caos negli Stati Uniti e in Europa

Tuttavia, secondo il ricercatore di minacce di Proofpoint, Tommy Majdar, ha detto a Bleeping Computer che la proprietà del dominio è cambiata in passato, quindi non è noto ora se il TA505 lo stia ancora utilizzando o meno.

Ora il file DLL scaricato è effettivamente il malware LOBSHOT, e verrà salvato nella cartella C:/ProgramData e poi eseguito da RunDLL.32.exe.

Elastic Security Labs menziona, “Abbiamo osservato oltre 500 campioni di malware LOBSHOT da luglio scorso. I campioni che abbiamo osservato sono stati classificati come DLL a 32 bit o eseguibili a 32 bit che tipicamente variano da circa 93 KB a 124 KB”.

Una volta eseguito il malware, controlla se il software di sicurezza, cioè Microsoft Defender, è in esecuzione e, se rilevato, termina l’esecuzione per evitare di essere individuato.

Tuttavia, se il defender non viene rilevato, il malware configurerà le voci di registro per avviarsi automaticamente quando si accede a Windows e trasferire informazioni di sistema dal dispositivo infetto, che includono i processi in esecuzione.

Dopo di ciò, il malware controlla anche nove estensioni di portafoglio di Microsoft Edge, trentadue portafogli di criptovalute Chrome e undici estensioni di portafoglio Firefox.

Ora, dopo aver elencato le estensioni, il malware esegue quindi un file in C:/Program Data. Sebbene il file non sia presente nella loro analisi, la società di sicurezza non è sicura se il file venga utilizzato per rubare dati o per qualche altro motivo.

Tuttavia, il furto di estensioni di criptovalute è piuttosto comune; la società di sicurezza Elastic Labs ha scoperto che il malware LOBSHOT includeva moduli hVNC che consentono quindi agli attori delle minacce di accedere silenziosamente alla macchina infetta.

Secondo Elastic Security Labs, il malware lancia un modulo hVNC che consente agli attori delle minacce di controllare il desktop nascosto utilizzando il mouse e la tastiera della macchina come se la macchina fosse di fronte a loro.

Bene, a questo punto, il dispositivo della vittima inizia a inviare registrazioni dello schermo, che rappresentano il desktop nascosto a un client in ascolto che è controllato dagli attori delle minacce, afferma la società di sicurezza.

Inoltre, l’attore delle minacce comunica quindi con il client controllando la tastiera, muovendo il mouse e cliccando sui pulsanti. Queste abilità consentono all’attaccante di prendere il pieno controllo del dispositivo infetto.

Inoltre, utilizzando l’hVNC, l’attaccante ora ha il pieno controllo sulla macchina, consentendo loro di eseguire comandi, rubare dati e distribuire ulteriormente malware.

Come sappiamo, AnyDesk o software simili di accesso remoto sono comunemente utilizzati, e il malware è probabilmente utilizzato per ottenere accesso iniziale alle reti aziendali e poi diffondersi ad altre macchine.

Leggi: Truffe di phishing che prendono di mira i contribuenti statunitensi con malware di accesso remoto