Logiciel malveillant LOBSHOT découvert via une enquête sur les publicités malveillantes
Les chercheurs d'Elastic Security Labs ont récemment découvert un nouveau malware appelé LOBSHOT au cours de leur enquête approfondie sur une augmentation des campagnes de publicités malveillantes. LOBSHOT est particulièrement intéressant car il accorde aux acteurs de la menace un accès VNC (Virtual Network Computing) caché aux appareils infectés. Les chercheurs ont également découvert des liens entre le logiciel malveillant et TA505, un groupe cybercriminel à motivation financière connu pour déployer divers rançongiciels et chevaux de Troie bancaires .
Table des matières
Augmentation des campagnes de publicité malveillante
Les campagnes de publicités malveillantes sont de plus en plus nombreuses et leur nature furtive rend difficile pour les utilisateurs de faire la différence entre les publicités légitimes et malveillantes. Les chercheurs en sécurité ont observé que cette augmentation peut être attribuée aux acteurs de la menace vendant des publicités malveillantes en tant que service, soulignant davantage l'importance d'être vigilant lors de l'interaction avec les publicités en ligne.
Tout au long de leurs recherches, Elastic Security Labs a observé un pic important de campagnes de publicité malveillante utilisant des kits d'exploitation pour cibler des vulnérabilités spécifiques dans des applications largement utilisées. Ces campagnes ont été de plus en plus observées sur plusieurs sites Web populaires, exposant des millions d'utilisateurs à des menaces potentielles. En règle générale, les visiteurs de ces sites Web rencontrent des publicités malveillantes qui, lorsqu'elles sont cliquées, redirigent vers une page de destination du kit d'exploitation où LOBSHOT s'exécute finalement sur l'appareil de l'utilisateur.
TA505 Infrastructures
TA505 , le groupe cybercriminel soupçonné d'être à l'origine du développement et du déploiement de LOBSHOT, est depuis longtemps reconnu pour ses activités malveillantes de grande envergure. Ce groupe est connu pour sa gamme bien organisée et diversifiée de campagnes d'attaques, se concentrant spécifiquement sur les institutions financières comme cibles principales, mais étendant également leurs activités malveillantes à d'autres secteurs.
Suite à l'analyse de LOBSHOT, Elastic Security Labs a découvert des chevauchements évidents entre l'infrastructure du logiciel malveillant et l'infrastructure TA505 précédemment identifiée. La similitude des méthodologies d'attaque et des infrastructures qui se chevauchent donne du crédit à l'hypothèse selon laquelle TA505 est responsable du développement et de l'utilisation active de LOBSHOT.
Accès VNC caché
L'un des aspects les plus préoccupants de LOBSHOT est sa capacité à accorder aux acteurs de la menace un accès caché aux appareils des victimes via VNC. Cette fonctionnalité spécifique permet aux attaquants d'accéder à distance à un appareil infecté tout en contournant le consentement de l'utilisateur, leur offrant la possibilité de surveiller, de manipuler et d'exfiltrer des données sensibles à l'insu de l'utilisateur. L'accès VNC caché fait de LOBSHOT un outil puissant et dangereux dans l'arsenal des cybercriminels, en particulier ceux qui ont des motivations financières.
Méthode de répartition
Il a été observé que la méthode de distribution du logiciel malveillant LOBSHOT impliquait des tactiques trompeuses, tirant parti de Google Ads et de faux sites Web pour attirer des victimes sans méfiance. Ces techniques démontrent en outre la sophistication et l'adaptabilité des acteurs de la menace à l'origine de ce malware, ce qui rend encore plus critique la prudence des utilisateurs finaux lorsqu'ils naviguent et cliquent sur des publicités.
Faux sites Web via Google Ads
L'un des principaux moyens de distribution de LOBSHOT est l'utilisation de faux sites Web promus via Google Ads. Les acteurs de la menace créent et entretiennent ces sites Web contrefaits, qui sont conçus pour imiter des sites Web et des services légitimes. En exploitant la plate-forme Google Ads, les adversaires peuvent afficher leurs publicités malveillantes à des utilisateurs sans méfiance qui peuvent cliquer sur les publicités sous l'impression qu'elles sont authentiques, conduisant à l'installation du logiciel malveillant LOBSHOT sur leurs appareils.
Rediriger les utilisateurs vers un faux domaine AnyDesk
Outre l'utilisation de faux sites Web, le processus de distribution du logiciel malveillant LOBSHOT implique également la redirection des utilisateurs vers un domaine AnyDesk contrefait. AnyDesk est une application de bureau à distance populaire sur laquelle de nombreuses entreprises et particuliers comptent pour l'accès et l'assistance à distance. Les acteurs de la menace ont profité de cette confiance en créant un domaine fictif AnyDesk pour inciter les utilisateurs à télécharger une version malveillante du logiciel, qui est en fait un malware LOBSHOT. Cette méthode met davantage en évidence les tactiques astucieuses utilisées par ces cybercriminels pour piéger les victimes et exécuter leurs activités malveillantes.
Installation via un système compromis
Dans certains cas, le logiciel malveillant LOBSHOT peut être installé sur l'appareil d'une victime via un système compromis. Cela peut se produire si l'utilisateur visite ou télécharge sans le savoir du contenu d'un site Web qui a été infecté par le logiciel malveillant ou s'il est devenu la cible d'une campagne de harponnage. Une fois que le logiciel malveillant a réussi à infiltrer l'appareil de la victime, il peut accorder un accès VNC caché à l'auteur de la menace, qui peut alors contrôler et manipuler à distance le système comme il le souhaite.
Capacités de LOBSHOT
Le logiciel malveillant LOBSHOT dispose d'une gamme de capacités formidables qui le rendent apte à infiltrer et à exploiter les appareils des utilisateurs. Le logiciel malveillant se concentre principalement sur le Virtual Network Computing (hVNC) caché, permettant aux attaquants de contrôler à distance les appareils infectés et d'accéder à leur interface utilisateur. Les principales fonctionnalités de LOBSHOT incluent :
Calcul de réseau virtuel caché (hVNC)
Au cœur de la fonctionnalité de LOBSHOT se trouve sa capacité à fournir un accès VNC caché aux appareils victimes. Grâce à hVNC, les attaquants bénéficient d'une méthode secrète de contrôle à distance d'un appareil sans le consentement ou la connaissance de la victime. La fonctionnalité hVNC rend LOBSHOT particulièrement dangereux, car il permet aux acteurs malveillants de maintenir une présence furtive sur les appareils compromis tout en menant diverses activités néfastes.
Contrôle à distance de l'appareil
Les capacités hVNC de LOBSHOT permettent aux attaquants de prendre le contrôle total des appareils infectés, d'exécuter des commandes, d'apporter des modifications et d'accéder aux ressources comme s'ils étaient l'utilisateur légitime. Ce niveau de contrôle permet aux acteurs de la menace d'effectuer un large éventail d'activités malveillantes, y compris l'exfiltration de données, l'installation de logiciels malveillants supplémentaires et la conduite de campagnes d'espionnage. La capacité de contrôler à distance l'appareil d'une victime souligne la menace importante posée par LOBSHOT.
Interface utilisateur graphique complète (GUI)
Le logiciel malveillant a également la capacité d'accéder à l'intégralité de l'interface utilisateur graphique (GUI) de l'appareil cible, ce qui signifie que l'attaquant peut interagir visuellement avec l'environnement de bureau de l'appareil. Cette fonctionnalité ajoute une autre couche d'efficacité et de contrôle au malware en facilitant la navigation et la manipulation de l'appareil compromis par l'auteur de la menace. L'accès à l'interface graphique complète permet à l'attaquant de surveiller les activités de l'utilisateur, d'accéder à des informations sensibles et d'effectuer des actions attribuées à l'utilisateur légitime, ce qui accentue encore le caractère pernicieux de LOBSHOT.
Atténuation et préoccupations
Le logiciel malveillant LOBSHOT présente des préoccupations importantes pour les utilisateurs individuels et les organisations, en raison de ses capacités VNC cachées et de son association avec des acteurs de la menace financièrement motivés tels que TA505. L'atténuation et la résolution de ces problèmes impliquent de comprendre les risques potentiels et de mettre en œuvre des mesures défensives appropriées, ainsi que d'appeler à des réglementations plus strictes sur des plateformes telles que Google Ads.
Vol d'informations bancaires et financières
L'une des principales préoccupations concernant LOBSHOT est son potentiel à voler des informations bancaires et financières à partir d'appareils infectés. Son accès VNC caché permet aux attaquants d'infiltrer les appareils sans être détectés, de surveiller les activités des utilisateurs et de capturer des données sensibles telles que les identifiants de connexion, les numéros de compte et les détails des transactions. Ces informations peuvent être exploitées à des fins économiques ou utilisées dans d'autres attaques, telles que le credential stuffing ou des campagnes de phishing.
Appels à une réglementation plus stricte des publicités sur Google
En réponse à la menace croissante de distribution de logiciels malveillants via Google Ads, plusieurs chercheurs et professionnels de la sécurité ont demandé à Alphabet, la société holding de Google, d'imposer des réglementations plus strictes sur l'approbation des publicités. La mise en œuvre de processus de filtrage des publicités et de mécanismes de vérification plus robustes peut aider à minimiser la propagation de logiciels malveillants tels que LOBSHOT et à réduire le risque que des utilisateurs peu méfiants soient victimes de telles menaces. En attendant, les utilisateurs finaux doivent prendre des précautions en vérifiant la légitimité du domaine qu'ils visitent et des logiciels qu'ils téléchargent.