Новая вредоносная программа LOBSHOT распространяется через рекламный механизм Google и позволяет операторам незаметно захватывать устройства, работающие на операционной системе Windows.
В последнее время исследователи не раз предупреждали об интересе киберпреступников к распространению вредоносов через рекламу в Google. Например, именно так пользователям выдавался зловред под видом GIMP.
Злоумышленники маскируют фишинговые и вредоносные сайты под ресурсы 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus и др. Желая получить легитимный софт, пользователи загружают на устройства трояны Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT и шифровальщик Royal.
В отчёте Elastic Security Labs специалисты указали на нового вредоноса — LOBSHOT, который также распространяется с помощью механизма Google Ads. На этот раз злоумышленники прикрылись софтом для удалённого администрирования AnyDesk, а на деле вели посетителя на фейковый сайт amydeecke[.]website.
Злонамеренный ресурс выдаёт пользователю файл MSI, выполняющий в системе PowerShell-команду и загружающий DLL с download-cdn[.]com.
«Мы выявили более 500 уникальных образцов LOBSHOT с июля 2022 года. Все они скомпилированы как 32-битные DLL или исполняемый файлы и весят между 93 и 124 КБ», — пишет команда Elastic Security Labs.
Сразу после запуска LOBSHOT проверяет, запущен ли в системе Microsoft Defender. Если антивирус активен, вредонос завершает свой процесс, чтобы избежать детектирования. В случае же, если Microsoft Defender не работает, LOBSHOT вносит изменения в реестр ОС и настраивается на автозапуск.
Далее зловред проверяет наличие одного из 32 Chrome-расширений для криптовалютных кошельков, 9 Edge-аддонов и 11 расширений для Firefox. После этого LOBSHOT запускает файл в директории C:\ProgramData.
Исследователи также выяснили, что вредонос располагает hVNC-модулем, позволяющим операторам незаметно подключаться к заражённому устройству удалённо.
