Bu yıl, kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmayı amaçlayan Google Ads yoluyla yapılan kötü amaçlı reklamcılıkta kayda değer bir artış oldu; Bu kötü amaçlı yükler arasında, bir hVNC modülü aracılığıyla hedef bilgisayarların uzun vadeli uzaktan kontrolünü kurabilen ve sürdürebilen bir bilgi hırsızı olan LOBSHOT da bulunuyor.
LOBSHOT enfeksiyon zinciri (Kaynak: Elastic Security Labs)
LOBSHOT kötü amaçlı yazılım bulaşması
Bir bilgi hırsızı ve uzaktan erişim truva atı olan LOBSHOT, Google Ads aracılığıyla dağıtılıyor. Reklamlar, kurumsal ayarlarda yaygın olarak kullanılan AnyDesk adlı meşru bir uzak masaüstü çözümünü tanıtıyor.
URL, kullanıcıları AnyDesk’in resmi web sitesine yönlendirmek yerine, burada barındırılan bir sayfaya işaret eder. https://www.amydecke[.]İnternet sitesi meşru görünen ve kullanıcıları bir MSI yükleyicisine götüren bir indirme düğmesi içeren.
Yükleyici için sahte AnyDesk açılış sayfası (Kaynak: Elastic Security Labs)
MSI yükleyicisi PowerShell’i başlatır, LOBSHOT’u indirir ve ardından onu rundll32 ile yürütür. LOBSHOT, virüslü sistemde çalışmaya başladığında, Windows Defender’ın etkin olup olmadığını kontrol eder ve etkinse, algılanmamak için yürütmeyi durdurur.
Kıdemli güvenlik araştırma mühendisi Daniel Stepanic, “LOBSHOT yürütüldükten sonra, kendisinin bir kopyasını C:\ Elastic’te.
“Bu tasarım seçimi, süreç ağacı soyunu kırma girişiminde kullanılıyor; analistlerin fark etmesini zorlaştırıyor.”
Kötü amaçlı yazılım, bir sisteme başarılı bir şekilde bulaştıktan sonra, sabit kodlanmış IP adresleri üzerinden C2 sunucularıyla iletişim kurmaya başlar.
Bilgi hırsızı + hVNC
Kalıcılığı sağlamak için LOBSHOT yeni bir kayıt defteri anahtarı kaydeder. Daha sonra Chrome, Edge ve Firefox gibi tarayıcılardaki 50’den fazla kripto para cüzdanı uzantısından veri çıkarmaya başlar.
Ancak bu kötü amaçlı yazılımı dikkate değer kılan, hVNC yeteneğidir.
Geleneksel VNC (Sanal Ağ Hesaplama) yazılımı, kullanıcının izniyle bir makineye uzaktan erişim sağlar; hVNC gizlice çalışarak saldırganların kurban tarafından tespit edilmeden aynı makinede eylemler gerçekleştirmesine olanak tanır.
LOBSHOT’un birincil amacı, kripto para birimi hırsızlığına yol açabilecek veri hırsızlığı gibi görünse de, hVNC özelliği, saldırganların diğer hedeflerine işaret edebilir.
“[hVNC] modüller, makineye doğrudan ve gözlemlenmeyen erişim sağlar. Bu özellik, dolandırıcılık tespit sistemlerini atlamada başarılı olmaya devam ediyor ve çoğu zaman birçok popüler ailede eklenti olarak kullanılıyor,” diye ekledi Stepanic.
“[Malware like LOBSHOT have] tamamen etkileşimli uzaktan kontrol yetenekleriyle ilk erişim aşamalarında tehdit aktörlerinin hızla hareket etmesine yardımcı olan önemli işlevsellik. Her hafta bu aile ile ilgili yeni örnekler görmeye devam ediyoruz ve bir süre ortalıkta dolaşmasını bekliyoruz.”