Google reklamları kullanılarak dağıtılan 'lobshot' olarak bilinen yeni bir kötü amaçlı yazılım, tehdit aktörlerinin HVNC kullanarak enfekte Windows cihazlarını gizlice ele geçirmesine izin verir.
Bu yılın başlarında, BleepingComputer ve çok sayıda siber güvenlik araştırmacısı, arama sonuçlarında kötü amaçlı yazılım dağıtmak için Google reklamlarını kullanan tehdit aktörlerinde dramatik bir artış olduğunu bildirdi.
Bu reklam kampanyaları 7-ZIP, VLC, OBS, Notepad ++, CCleaner, TradingView, Rufus ve daha birçok uygulama için web sitelerini taklit etti.
Bununla birlikte, bu siteler Gozi, Redline, Vidar, Cobalt Strike, Sectorat ve Royal Ransomware dahil olmak üzere meşru uygulamaları dağıtmak yerine kötü amaçlı yazılımları itti.
Elastik güvenlik laboratuvarlarının yeni bir raporunda, araştırmacılar Lobshot adlı yeni bir uzaktan erişim Truva atının Google Reklamları aracılığıyla dağıtıldığını açıkladı.
Bu reklamlar meşru Anydesk uzaktan yönetim yazılımını tanıttı, ancak Amydeecke [.] Web sitesinde sahte bir Anydesk sitesine yol açtı.
Bu site, TA505/CLOP fidye yazılımı çetesi ile tarihsel olarak ilişkili bir alan olan Download-CDN [.] Com'dan bir DLL indirmek için bir PowerShell komutunu yürüten kötü amaçlı bir MSI dosyasını itti.
Bununla birlikte, Proofpoint tehdidi araştırmacısı Tommy Madjar daha önce BleepingComputer'a bu alanın geçmişte sahipliğini değiştirdiğini söyledi, bu nedenle TA505'in hala kullanıp kullanmadığı belirsiz.
İndirilen DLL dosyası LobShot kötü amaçlı yazılımdır ve C: \ ProgramData klasörüne kaydedilecek ve daha sonra Rundll32.exe tarafından yürütülecektir.
Elastik Güvenlik Laboratuarları raporunu, "Geçen Temmuz ayından bu yana 500'den fazla benzersiz lobshot örneği gözlemledik. Gözlemlediğimiz örnekler 32 bit DLL'ler veya tipik olarak 93 kb ila 124 kb civarında 32 bit yürütülebilir ürünler olarak derleniyor."
Yürütüldükten sonra, kötü amaçlı yazılım Microsoft Defender'ın çalışıp çalışmadığını kontrol eder ve tespit edilirse algılamayı önlemek için yürütmeyi sonlandırır.
Ancak, savunmacı algılanmazsa, kötü amaçlı yazılım, Windows'a giriş yaparken kayıt defteri girişlerini otomatik olarak başlatacak ve ardından sistem bilgilerini çalıştırma işlemleri de dahil olmak üzere enfekte cihazdan iletecektir.
Kötü amaçlı yazılım ayrıca 32 krom kripto para birimi cüzdan uzantısı, dokuz kenar cüzdan uzantısı ve 11 Firefox cüzdan uzantısı olup olmadığını kontrol edecektir.
Uzantıları numaralandırdıktan sonra, kötü amaçlı yazılım C: \ ProgramData'da bir dosya yürütür. Bununla birlikte, bu dosya analizlerinde mevcut olmadığından, elastik, uzatma verilerini çalmak için mi yoksa başka bir amaç için mi kullanılmadığından emin değildir.
Kripto para birimi uzantılarını çalmak yaygın olmakla birlikte, elastik yazılımların bir HVNC modülü içerdiğini ve tehdit aktörlerinin enfekte bir cihaza uzaktan sessizce erişmesine izin verdiğini buldu.
HVNC veya gizli sanal ağ hesaplama, cihazın sahibi tarafından kullanılan ana masaüstü yerine enfekte bir cihazda gizli bir masaüstünü kontrol etmek için değiştirilmiş bir VNC uzaktan erişim yazılımıdır.
Bu, bir tehdit oyuncunun kurban olduğunu bilmeden bir Windows masaüstü bilgisayarını uzaktan kontrol etmesini sağlar.
Elastik, Lobshot'un tehdit aktörlerinin farelerini ve klavyelerini önündeymiş gibi kullanarak gizli masaüstünü kontrol etmelerini sağlayan bir HVNC modülü dağıttığını söylüyor.
"Bu aşamada, kurban makinesi, saldırgan tarafından kontrol edilen bir dinleme istemcisine gönderilen gizli masaüstünü temsil eden ekran çekimleri göndermeye başlayacak" diye açıklıyor Elastik.
"Saldırgan, klavyeyi kontrol ederek, düğmeleri tıklayıp fareyi hareket ettirerek istemci ile etkileşime girer, bu özellikler saldırgana cihazın tam uzaktan kumandasını sağlar."
HVNC'yi kullanarak, tehdit aktörleri cihaz üzerinde tam bir kontrole sahiptir, bu da komutları yürütmelerine, verileri çalmalarına ve hatta daha fazla kötü amaçlı yazılım yükü dağıtmalarına olanak tanır.
AnyDesk iş ortamlarında yaygın olarak kullanıldığından, kötü amaçlı yazılım muhtemelen kurumsal ağlara ilk erişim için ve yanal olarak diğer cihazlara yayılmak için kullanılır.
Bu tür erişim fidye yazılımı saldırılarına, veri gasplarına ve diğer saldırılara yol açabilir.
Google Reklamlar Fidye Yazılımı Çeteleri tarafından kullanılan Bumblebee kötü amaçlı yazılımını itin
Fidye Yazılımı Gang Oyun Özel Gölge Volume Copy Veri-Gezinti Aracı Kullanıyor
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
Microsoft Onenote 120 tehlikeli dosya uzantısını engelleyecek
Emotet kötü amaçlı yazılımı, şimdi savunmalardan kaçmak için Microsoft OneNote dosyalarına dağıtıldı
Kaynak: Bleeping Computer