Logiciel malveillant LOBSHOT
Une nouvelle menace malveillante appelée LOBSHOT s'est avérée être distribuée via Google Ads et est capable d'infecter les appareils Windows à l'aide de hVNC. Le logiciel malveillant a été observé par des chercheurs en cybersécurité faisant la promotion de publicités semblant être destinées au logiciel légitime de gestion à distance AnyDesk. Cependant, les publicités malveillantes conduisent plutôt les utilisateurs vers un faux site Web. Cette page, « amydeecke.website », pousse un fichier MSI malveillant qui, à son tour, exécute une commande PowerShell. L'objectif est de télécharger une DLL à partir de download-cdn[.]com, un domaine qui a déjà été associé aux activités cybercriminelles du groupe de rançongiciels TA505/Clop.
Le fichier DLL téléchargé est le malware LOBSHOT et est enregistré dans le dossier C:\ProgramData, où il est exécuté par RunDLL32.exe. Selon un rapport, qui a révélé des détails sur LOBSHOT, les chercheurs ont observé plus de 500 échantillons LOBSHOT uniques depuis juillet 2022. Les échantillons identifiés sont généralement compilés sous forme de DLL 32 bits ou d'exécutables 32 bits allant de 93 Ko à 124 Ko. Une fois exécuté sur les appareils piratés, LOBSHOT vérifie si Microsoft Defender est en cours d'exécution et met fin à son exécution s'il est détecté.
Table des matières
Les cybercriminels exploitent Google Ads pour diffuser des menaces de logiciels malveillants
Les experts en cybersécurité ont observé une augmentation substantielle de l'utilisation des publicités Google par les acteurs de la menace pour diffuser des logiciels malveillants via les résultats de recherche. Les campagnes publicitaires malveillantes impliquaient l'imitation de divers sites Web et produits logiciels légitimes, tels que 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus et plusieurs autres applications.
Malgré l'impression de légitimité donnée par les publicités, les sites Web vers lesquels ils redirigent sont en fait conçus pour diffuser des logiciels malveillants, notamment Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT et Royal Ransomware au lieu de fournir de véritables applications.
Le logiciel malveillant LOBSHOT cible les extensions et les portefeuilles de crypto-monnaie
Si LOBSHOT ne trouve pas de signes de la présence de Microsoft Defender, il poursuivra sa programmation menaçante. La menace configurera automatiquement les entrées du registre pour assurer son démarrage à chaque démarrage de Windows. LOBSHOT collectera et commencera alors à transmettre les informations système, y compris tous les processus en cours d'exécution, à partir de l'appareil infecté. De plus, le logiciel malveillant recherche la présence de 32 extensions de portefeuille de crypto-monnaie Chrome, de neuf extensions de portefeuille Edge et de 11 extensions de portefeuille Firefox.
Lors de la détection de ces extensions, le logiciel malveillant exécute un fichier dans le dossier C:\ProgramData. Cependant, les chercheurs ne savent pas si le but du fichier est d'extraire des données d'extension ou une autre action nuisible.
Bien que la collecte d'extensions de crypto-monnaie soit un objectif commun pour les logiciels malveillants, le logiciel malveillant LOBSHOT a également un module hVNC intégré dans sa structure. Ce module permet aux pirates d'accéder discrètement à distance à un appareil infecté.
Le logiciel malveillant LOBSHOT fournit un accès à distance aux appareils piratés
La possibilité de contrôler à distance un ordinateur de bureau Windows à l'insu de la victime est rendue possible par le module hVNC (hidden virtual network computing).
Le logiciel malveillant connu sous le nom de LOBSHOT comprend un module hVNC, qui permet aux acteurs de la menace de manipuler le bureau caché comme s'ils étaient physiquement présents devant lui, à l'aide de leur clavier et de leur souris.
Une fois le module activé, la machine de la victime commence à transmettre des captures d'écran du bureau caché à un client d'écoute contrôlé par l'attaquant. L'attaquant peut interagir avec le client en manipulant le clavier, en cliquant sur les boutons et en déplaçant la souris, ce qui lui donne un contrôle à distance complet de l'appareil.
Avec un accès complet accordé par hVNC, les acteurs de la menace peuvent effectuer diverses activités, telles que l'exécution de commandes, le vol de données et le déploiement de charges utiles supplémentaires de logiciels malveillants.
