Malware LOBSHOT se espalhando via Google Ads se passando por software de gerenciamento remoto autêntico

No início deste ano, vários pesquisadores de cibersegurança relataram um aumento no uso de anúncios do Google por atores de ameaças para espalhar malware nos resultados de pesquisa.

Pesquisadores de segurança descobriram um novo malware conhecido como LOBSHOT, que está sendo distribuído usando anúncios do Google que permitem que os atores de ameaças assumam cautelosamente o controle do dispositivo Windows infectado usando hVNC.

Bem, hVNC é a computação de rede virtual oculta, um meio calculado para o malware controlar a máquina sem o conhecimento da vítima.

A campanha de anúncios do Google se passou por vários sites, como Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus e mais aplicativos.

Embora esses sites tenham promovido malware em vez de distribuir os aplicativos reais, o malware que foi distribuído inclui RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT e Vidar.

Um relatório da empresa de segurança Elastic Security Labs menciona que o malware LOBSHOT estava sendo espalhado através de anúncios do Google, e essas campanhas de anúncios promoviam o autêntico software de gerenciamento remoto AnyDesk, mas depois levaram ao site falso Anydisk em https://www.amydecke[.]website.

O site empurra um arquivo MSI malicioso que executou um comando Powershell para baixar um DLL de download -cdn[., a com], um domínio realmente associado ao grupo de ransomware TA505/Clop.

Leia: Evil Extractor, ferramenta de roubo de dados causando caos nos EUA e na Europa

Embora, de acordo com o pesquisador de ameaças da Proofpoint, Tommy Majdar, tenha dito ao Bleeping Computer que o domínio teve sua propriedade alterada no passado, então não se sabe agora se o TA505 ainda o está usando ou não.

Agora, o arquivo DLL de download é na verdade o malware LOBSHOT, e será salvo na pasta C:/ProgramData e então será executado pelo RunDLL.32.exe.

Elastic Security Labs menciona, “Observamos mais de 500 amostras de malware LOBSHOT desde julho passado. As amostras que observamos foram compiladas como DLLs de 32 bits ou executáveis de 32 bits, geralmente variando de 93 KB a 124 KB”.

Uma vez que o malware é executado, ele verifica se o software de segurança, ou seja, o Microsoft Defender, está em execução e, se detectado, encerra a execução para parar de ser detectado.

No entanto, se o defensor não for detectado, então o malware configurará entradas de Registro para iniciar automaticamente quando fizer login no Windows e transferir informações do sistema do dispositivo infectado, que incluem processos em execução.

Depois disso, o malware também verifica nove extensões de carteira do Microsoft Edge, trinta e duas carteiras de criptomoedas do Chrome e onze extensões de carteira do Firefox.

Agora, após listar as extensões, o malware então executa um arquivo em C:/Program Data. Embora o arquivo não esteja presente em sua análise, a empresa de segurança não tem certeza se o arquivo é usado para roubar dados ou qualquer outro motivo.

No entanto, roubar extensões de criptomoedas é bastante comum; a empresa de segurança Elastic Labs descobriu que o malware LOBSHOT incluía módulos hVNC que então permitem que os atores de ameaças acessem a máquina infectada silenciosamente.

De acordo com o Elastic Security Labs, o malware lança um módulo hVNC que permite que os atores de ameaças controlem a área de trabalho oculta usando o mouse e o teclado da máquina como se a máquina estivesse na frente deles.

Bem, neste ponto, o dispositivo da vítima começa a enviar gravações de tela, que representam a área de trabalho oculta para um cliente ouvinte que está sendo controlado pelos atores de ameaças, diz a empresa de segurança.

Além disso, o ator de ameaças então se comunica com o cliente controlando o teclado, movendo o mouse e clicando em botões. Essas habilidades permitem que o atacante tenha controle total do dispositivo infectado.

Além disso, ao utilizar o hVNC, o atacante agora tem controle total sobre a máquina, permitindo que execute comandos, roube dados e implante mais malware.

Como sabemos, AnyDesk ou software de acesso remoto semelhante é comumente usado, e o malware é provavelmente usado para obter acesso inicial às redes corporativas e depois se espalhar para outras máquinas.

Leia: Golpes de Phishing visando contribuintes dos EUA com malware de acesso remoto