Estás leyendo la publicación: El malware LOBSHOT se propaga a través de anuncios de Google haciéndose pasar por un auténtico software de gestión remota
A principios de este año, varios investigadores de ciberseguridad informaron de un aumento en el número de actores de amenazas que utilizan Google Ads para difundir malware en los resultados de búsqueda.
Los investigadores de seguridad descubrieron un nuevo malware conocido como LOBSHOT, que se distribuye mediante Google Ads y que permite a los actores de amenazas hacerse cargo con cautela del dispositivo Windows infectado mediante el uso de hVNC.
Bueno, hVNC es Computación de red virtual oculta es un medio calculado para que el malware controle la máquina sin el conocimiento de la víctima.
La campaña de Google Ads se hizo pasar por numerosos sitios web como Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus y más aplicaciones.
Aunque estos sitios web promocionaron malware en lugar de distribuir las aplicaciones reales, el malware que se distribuyó incluye RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT y Vidar.
Un informe de la empresa de seguridad. Laboratorios de seguridad elástica menciona que el malware LOBSHOT se estaba propagando a través de anuncios de Google, y estas campañas publicitarias promocionaban el software de administración remota AnyDesk auténtico, pero luego conducían al sitio web falso de Anydisk en https://www.amydecke[.]sitio web.
El sitio web envía un archivo MSI malicioso que ejecuta un comando de Powershell para descargar una DLL desde download -cdn[., a com]un dominio en realidad asociado con el grupo de ransomware TA505/Clop.
Leer: Evil Extractor, herramienta de robo de datos que causa estragos en EE. UU. y Europa
Aunque, según el investigador de amenazas de Proofpoint, Tommy Majdarle dijo a Bleeping Computer que el dominio cambió de propietario en el pasado, por lo que ahora no se sabe si el TA505 todavía lo usa o no.
Ahora, el archivo Descargar DLL es en realidad malware LOBSHOT, se guardará en la carpeta C:/ProgramData y luego lo ejecutará RunDLL.32.exe.
Elastic Security Labs menciona “”.
Cadena de infección LOBSHOTUna vez ejecutado el malware, comprueba si el software de seguridad, es decir, Microsoft Defender, se está ejecutando y, si lo detecta, finaliza la ejecución para dejar de ser detectado.
Sin embargo, si no se detecta al defensor, el malware configurará las entradas del Registro para que se inicien automáticamente cuando inicie sesión en Windows y transfiera información del sistema desde el dispositivo infectado, lo que incluye los procesos en ejecución.
Después de eso, el malware también busca nueve extensiones de billetera Microsoft Edge, treinta y dos billeteras de criptomonedas de Chrome y once extensiones de billetera de Firefox.
Ahora, después de enumerar las extensiones, el malware ejecuta un archivo en C:/Program Data. Sin embargo, el archivo no figura en su análisis, por lo que la empresa de seguridad no está segura de si el archivo se utiliza para robar datos o por cualquier otro motivo.
Sin embargo, robar extensiones de criptomonedas es bastante común; La empresa de seguridad Elastic Labs descubrió que el malware LOBSHOT incluía módulos hVNC que luego permitían a los actores de amenazas acceder a la máquina infectada de forma silenciosa.
Según Elastic Security Labs, el malware lanza un módulo hVNC que permite a los actores de amenazas controlar el escritorio oculto utilizando el mouse y el teclado de la máquina como si la máquina estuviera frente a ellos.
Bueno, en este punto, el dispositivo de la víctima comienza a enviar grabaciones de pantalla, que representan el escritorio oculto a un cliente de escucha que está siendo controlado por los actores de amenazas, dice la firma de seguridad.
Además, el actor de la amenaza se comunica con el cliente controlando el teclado, moviendo el mouse y haciendo clic en los botones. Estas habilidades permiten al atacante tomar el control total del dispositivo infectado.
Además, al utilizar hVNC, el atacante ahora tiene control total sobre la máquina, lo que le permite ejecutar comandos, robar datos y desplegar más malware.
Como sabemos, AnyDesk o software de acceso remoto similar se usa comúnmente, y el malware probablemente se usa para obtener acceso inicial a las redes corporativas y luego propagarse a otras máquinas.
Leer: Estafas de phishing dirigidas a contribuyentes estadounidenses con malware de acceso remoto
