Google reklamları kullanılarak dağıtılan ‘LOBSHOT’ olarak bilinen yeni bir kötü amaçlı yazılım, tehdit aktörlerinin hVNC kullanarak virüslü Windows cihazlarını gizlice ele geçirmesine olanak tanır.
Bu yılın başlarında, BleepingComputer ve çok sayıda siber güvenlik araştırmacısı, arama sonuçlarında kötü amaçlı yazılım dağıtmak için Google reklamlarını kullanan tehdit aktörlerinde çarpıcı bir artış olduğunu bildirdi.
Bu reklam kampanyaları, 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ve daha birçok uygulama için web sitelerinin kimliğine büründü.
Ancak bu siteler, Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT ve Royal Ransomware gibi meşru uygulamaları dağıtmak yerine kötü amaçlı yazılımları öne çıkardı.
Google reklamları tarafından dağıtılan LOBSHOT
Elastic Security Labs tarafından hazırlanan yeni bir raporda araştırmacılar, LOBSHOT adlı yeni bir uzaktan erişim truva atının Google Ads aracılığıyla dağıtıldığını ortaya çıkardı.
Bu reklamlar meşru AnyDesk uzaktan yönetim yazılımını tanıtıyordu ancak amydeecke’de sahte bir AnyDesk sitesine yönlendiriyordu.[.]İnternet sitesi.
Bu site, download-cdn’den bir DLL indirmek için bir PowerShell komutu yürüten kötü amaçlı bir MSI dosyasını gönderdi.[.]com, tarihsel olarak TA505/Clop fidye yazılımı çetesiyle ilişkili bir etki alanı.
Bu site, download-cdn’den bir DLL indirmek için bir PowerShell komutu yürüten kötü amaçlı bir MSI dosyasını gönderdi.[.]com, tarihsel olarak TA505/Clop fidye yazılımı çetesiyle ilişkili bir etki alanı.
Ancak, Proofpoint tehdit araştırmacısı tommy madjar daha önce BleepingComputer’a bu etki alanının geçmişte sahipliğini değiştirdiğini söylemişti, bu nedenle TA505’in onu hala kullanıp kullanmadığı belli değil.
İndirilen DLL dosyası, LOBSHOT kötü amaçlı yazılımıdır ve C:\ProgramData klasörüne kaydedilecek ve ardından RunDLL32.exe tarafından yürütülecektir.
“Geçen Temmuz’dan bu yana 500’ün üzerinde benzersiz LOBSHOT örneği gözlemledik. Gözlemlediğimiz örnekler, 32 bit DLL’ler veya tipik olarak yaklaşık 93 KB için 124 KB”, Elastic Security Labs raporunu açıklıyor.
Kötü amaçlı yazılım yürütüldüğünde, Microsoft Defender’ın çalışıp çalışmadığını kontrol edecek ve algılanırsa, algılamayı önlemek için yürütmeyi sonlandıracaktır.
Ancak, Defender algılanmazsa, kötü amaçlı yazılım, Windows’ta oturum açarken otomatik olarak başlayacak Kayıt Defteri girişlerini yapılandıracak ve ardından çalışan işlemler de dahil olmak üzere virüslü cihazdan sistem bilgilerini iletecektir.
Kötü amaçlı yazılım ayrıca 32 Chrome kripto para cüzdan uzantısını, dokuz Edge cüzdan uzantısını ve 11 Firefox cüzdan uzantısını kontrol edecek.
Uzantıları numaralandırdıktan sonra, kötü amaçlı yazılım C:\ProgramData içindeki bir dosyayı yürütür. Ancak, söz konusu dosya analizlerinde bulunmadığından, Elastic dosyanın uzantı verilerini çalmak için mi yoksa başka bir amaçla mı kullanıldığından emin değil.
Elastic, kripto para birimi uzantılarını çalmak yaygın olmakla birlikte, kötü amaçlı yazılımın, tehdit aktörlerinin virüs bulaşmış bir cihaza uzaktan sessizce erişmesine izin veren bir hVNC modülü içerdiğini de keşfetti.
Kurbanların cihazlarını gizlice kontrol etme
hVNC veya gizli sanal ağ bilgi işlemi, cihazın sahibi tarafından kullanılan ana masaüstü yerine virüslü cihazdaki gizli bir masaüstünü kontrol etmek için değiştirilmiş bir VNC uzaktan erişim yazılımıdır.
Bu, bir tehdit aktörünün, kurbanın ne olduğunu bilmeden bir Windows masaüstü bilgisayarını uzaktan kontrol etmesine olanak tanır.
Elastic, LOBSHOT’un, tehdit aktörlerinin sanki önlerindeymiş gibi farelerini ve klavyelerini kullanarak gizli masaüstünü kontrol etmelerini sağlayan bir hVNC modülü kullandığını söylüyor.
Elastic, “Bu aşamada, kurban makine, saldırgan tarafından kontrol edilen bir dinleme istemcisine gönderilen gizli masaüstünü temsil eden ekran görüntüleri göndermeye başlayacak” diye açıklıyor.
“Saldırgan, klavyeyi kontrol ederek, düğmeleri tıklatarak ve fareyi hareket ettirerek istemciyle etkileşime girer; bu yetenekler, saldırganın cihazın tam uzaktan kontrolünü sağlar.”
Tehdit aktörleri, hVNC’yi kullanarak cihaz üzerinde tam kontrole sahip olur ve komutları yürütmelerine, verileri çalmalarına ve hatta daha fazla kötü amaçlı yazılım yükü dağıtmalarına izin verir.
AnyDesk iş ortamlarında yaygın olarak kullanıldığından, kötü amaçlı yazılım büyük olasılıkla kurumsal ağlara ilk erişim için ve yanal olarak diğer cihazlara yayılmak için kullanılıyor.
Bu tür bir erişim, fidye yazılımı saldırılarına, veri gaspına ve diğer saldırılara yol açabilir.