Малварь LOBSHOT, распространяющаяся через Google Ads, выдавая себя за подлинное программное обеспечение для удаленного управления

В начале этого года несколько исследователей в области кибербезопасности сообщили о росте числа злоумышленников, использующих Google Ads для распространения вредоносного ПО в результатах поиска.

Исследователи безопасности обнаружили новое вредоносное ПО, известное как LOBSHOT, которое распространяется с помощью Google Ads, позволяющих злоумышленникам осторожно захватывать зараженное устройство Windows с помощью hVNC.

hVNC — это скрытые виртуальные сетевые вычисления, которые являются расчетным средством для вредоносного ПО для управления машиной без ведома жертвы.

Кампания Google Ads выдавала себя за множество веб-сайтов, таких как Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus и другие приложения.

Хотя эти веб-сайты распространяли вредоносное ПО вместо того, чтобы распространять реальные приложения, среди распространенного вредоносного ПО были RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT и Vidar.

Отчет от компании по безопасности Elastic Security Labs упоминает, что вредоносное ПО LOBSHOT распространялось через Google Ads, и эти рекламные кампании продвигали подлинное программное обеспечение для удаленного управления AnyDesk, но затем привели к фальшивому веб-сайту Anydisk по адресу https://www.amydecke[.]website.

Веб-сайт предлагает вредоносный MSI-файл, который выполняет команду Powershell для загрузки DLL с download -cdn[., a com], домена, на самом деле связанного с группой программ-вымогателей TA505/Clop.

Читать: Evil Extractor, инструмент кражи данных, вызывающий хаос в США и Европе

Хотя, по словам исследователя угроз из Proofpoint, Томми Мадждара, который сообщил Bleeping Computer, что домен изменил свое владение в прошлом, поэтому сейчас неизвестно, использует ли TA505 его или нет.

Теперь загружаемый файл DLL на самом деле является вредоносным ПО LOBSHOT, и он будет сохранен в папке C:/ProgramData, а затем выполняется с помощью RunDLL.32.exe.

Elastic Security Labs упоминает: “ Мы наблюдали более 500 образцов вредоносного ПО LOBSHOT с прошлого июля. Образцы, которые мы наблюдали, были 32-битными DLL или 32-битными исполняемыми файлами, обычно в диапазоне от 93 КБ до 124 КБ “.

После выполнения вредоносного ПО оно проверяет, работает ли программное обеспечение безопасности, т.е. Microsoft Defender, и, если оно обнаружено, завершает выполнение, чтобы избежать обнаружения.

Однако, если защитник не обнаружен, то вредоносное ПО настроит записи реестра для автоматического запуска при входе в Windows и передаст системную информацию с зараженного устройства, включая запущенные процессы.

После этого вредоносное ПО также проверяет девять расширений кошельков Microsoft Edge, тридцать два кошелька криптовалюты Chrome и одиннадцать расширений кошельков Firefox.

Теперь после перечисления расширений вредоносное ПО выполняет файл в C:/Program Data. Хотя файла там нет в их анализе, поэтому компания по безопасности не уверена, используется ли файл для кражи данных или для какой-либо другой цели.

Тем не менее, кража расширений криптовалюты довольно распространена; компания по безопасности Elastic Labs обнаружила, что вредоносное ПО LOBSHOT включало модули hVNC, которые затем позволяют злоумышленникам бесшумно получать доступ к зараженной машине.

По данным Elastic Security Labs, вредоносное ПО запускает модуль hVNC, который позволяет злоумышленникам управлять скрытым рабочим столом, используя мышь и клавиатуру машины, как будто машина находится перед ними.

На этом этапе устройство жертвы начинает отправлять записи экрана, которые представляют скрытый рабочий стол слушающему клиенту, который контролируется злоумышленниками, говорит компания по безопасности.

Более того, злоумышленник затем общается с клиентом, управляя клавиатурой, перемещая мышь и нажимая кнопки. Эти возможности позволяют атакующему полностью контролировать зараженное устройство.

Кроме того, используя hVNC, атакующий теперь имеет полный контроль над машиной, что позволяет ему выполнять команды, красть данные и далее развертывать вредоносное ПО.

Как мы знаем, AnyDesk или аналогичное программное обеспечение для удаленного доступа обычно используется, и вредоносное ПО, вероятно, используется для получения первоначального доступа к корпоративным сетям, а затем для распространения на другие машины.

Читать: Фишинговые схемы, нацеленные на налогоплательщиков США с вредоносным ПО для удаленного доступа