Новое вредоносное ПО LOBSHOT дает хакерам скрытый VNC-доступ к устройствам Windows

Новое вредоносное ПО, известное как LOBSHOT, распространяемое с помощью рекламы Google, позволяет злоумышленникам незаметно захватывать зараженные устройства Windows с помощью hVNC.

Новое вредоносное ПО LOBSHOT дает хакерам скрытый VNC-доступ к устройствам Windows. Фото: СС0

Ранее исследователи кибербезопасности сообщили о резком увеличении числа злоумышленников, использующих рекламу Google для распространения вредоносных программ в результатах поиска.

Хакеры выдавали свои площадки за сайты для 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus и многих других приложений.

Эти страницы заражали системы пользователей разными штаммами зловредов, включая Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT и Royal Ransomware.

В новом отчете Elastic Security Labs исследователи сообщили, что новый троян удаленного доступа под названием LOBSHOT распространяется через Google Ads.

Эти объявления рекламировали законное программное обеспечение для удаленного управления AnyDesk, но вели к поддельному сайту AnyDesk по адресу amydeecke[.]website.

Этот сайт отправляет вредоносный файл MSI, который выполняет команду PowerShell для загрузки DLL с download-cdn[.]com, домена, исторически связанного с бандой вымогателей TA505/Clop .

Ранее исследователь угроз Proofpoint Томми Маджар сообщил, что этот домен сменил владельца в прошлом, поэтому неясно, использует ли его TA505 до сих пор.

Загруженный файл DLL является вредоносным ПО LOBSHOT и будет сохраняется в папке C:\ProgramData, а затем запускает RunDLL32.exe.

Из сообщения исследователей безопасности из Elastic Security Labs:

«С июля прошлого года мы наблюдали более 500 уникальных образцов LOBSHOT. Они скомпилированы в виде 32-разрядных библиотек DLL или 32-разрядных исполняемых файлов, размер которых обычно составляет от 93 до 124 КБ ».

После запуска вредоносное ПО проверяет, запущен ли Microsoft Defender, и, если защитник активен, прекратит работу, чтобы предотвратить обнаружение.

Однако, если Защитник не обнаружен, вредоносная программа настроит записи реестра для автоматического запуска при входе в Windows, а затем передаст системную информацию с зараженного устройства, включая запущенные процессы.

Зловред также проверит 32 расширения кошелька криптовалюты Chrome, девять расширений кошелька Edge и 11 расширений кошелька Firefox.

После этого вредоносная программа выполнит файл в C:\ProgramData. Однако, поскольку этот файл не анализировался, исследователи не уверены, использовался ли он для кражи данных расширения или для какой-либо другой цели.

В Elastic также обнаружили, что вредоносное ПО включает модуль hVNC, позволяющий злоумышленникам незаметно удаленно получать доступ к зараженному устройству.

hVNC, или скрытые виртуальные сетевые вычисления , представляют собой программное обеспечение удаленного доступа VNC, модифицированное для управления скрытым рабочим столом на зараженном устройстве, а не основным рабочим столом, используемым владельцем устройства.

Это позволяет субъекту угрозы удаленно управлять настольным компьютером с Windows так, чтобы жертва не знала, что это происходит.

В Elastic сообщают, что LOBSHOT развертывает модуль hVNC, который позволяет злоумышленникам управлять скрытым рабочим столом с помощью мыши и клавиатуры, как если бы хакеры находились перед ним.

Из сообщения компании:

«На этом этапе компьютер-жертва начнет отправлять снимки экрана, представляющие скрытый рабочий стол, которые отправляются прослушивающему клиенту, контролируемому злоумышленником. Злоумышленник взаимодействует с клиентом, управляя клавиатурой, нажимая кнопки и перемещая мышь, эти возможности обеспечивают злоумышленнику полный удаленный контроль над устройством».

Используя hVNC, злоумышленники получают полный контроль над устройством, что позволяет им выполнять команды, красть данные и даже развертывать дополнительные вредоносные программы.

Поскольку AnyDesk обычно используется в бизнес-среде, вредоносное ПО, скорее всего, используется для первоначального доступа к корпоративным сетям и для последующего распространения на другие устройства.

Этот тип доступа может привести к атакам программ-вымогателей, вымогательству данных и другим атакам, сообщают в компании.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме