Malware LOBSHOT descubierto a través de una investigación de publicidad maliciosa
Los investigadores de Elastic Security Labs descubrieron recientemente un nuevo malware llamado LOBSHOT durante su investigación exhaustiva de un aumento en las campañas de publicidad maliciosa. LOBSHOT es de particular interés porque otorga a los actores de amenazas acceso oculto VNC (Virtual Network Computing) a los dispositivos infectados. Los investigadores también encontraron conexiones entre el malware y TA505, un grupo de ciberdelincuentes motivado financieramente conocido por implementar varios ransomware y troyanos bancarios .
Tabla de contenido
Pico en las campañas de publicidad maliciosa
Las campañas de publicidad maliciosa han ido creciendo en número, y su naturaleza sigilosa dificulta que los usuarios diferencien entre anuncios legítimos y maliciosos. Los investigadores de seguridad han observado que este aumento puede atribuirse a los actores de amenazas que venden publicidad maliciosa como servicio, lo que destaca aún más la importancia de estar atento al interactuar con anuncios en línea.
A lo largo de su investigación, Elastic Security Labs observó un aumento destacado en las campañas de publicidad maliciosa que utilizan kits de explotación para atacar vulnerabilidades específicas en aplicaciones ampliamente utilizadas. Estas campañas se han observado cada vez más en varios sitios web populares, exponiendo a millones de usuarios a amenazas potenciales. Por lo general, los visitantes de estos sitios web se encuentran con anuncios maliciosos que, cuando se hace clic en ellos, redirigen a una página de inicio de kit de explotación donde LOBSHOT finalmente se ejecuta en el dispositivo del usuario.
Infraestructura TA505
TA505 , el grupo cibercriminal sospechoso de estar detrás del desarrollo y despliegue de LOBSHOT, ha sido reconocido durante mucho tiempo por sus actividades maliciosas de gran alcance. Este grupo es conocido por su gama diversa y bien organizada de campañas de ataque, centrándose específicamente en las instituciones financieras como sus objetivos principales, pero también extendiendo sus actividades maliciosas a otras industrias.
Tras el análisis de LOBSHOT, Elastic Security Labs encontró superposiciones claras entre la infraestructura del malware y la infraestructura TA505 previamente identificada. La similitud en las metodologías de ataque y la superposición de infraestructura da crédito a la hipótesis de que TA505 es responsable del desarrollo y uso activo de LOBSHOT.
Acceso VNC oculto
Uno de los aspectos más preocupantes de LOBSHOT es su capacidad para otorgar a los actores de amenazas acceso oculto a los dispositivos de las víctimas a través de VNC. Esta característica específica permite a los atacantes obtener acceso remoto a un dispositivo infectado mientras eluden el consentimiento del usuario, brindándoles la capacidad de monitorear, manipular y filtrar datos confidenciales sin el conocimiento del usuario. El acceso VNC oculto convierte a LOBSHOT en una herramienta poderosa y peligrosa en el arsenal de los ciberdelincuentes, particularmente aquellos con motivaciones financieras.
Método de distribución
Se ha observado que el método de distribución del malware LOBSHOT involucra tácticas engañosas, aprovechando Google Ads y sitios web falsos para atraer a víctimas desprevenidas. Estas técnicas demuestran aún más la sofisticación y la adaptabilidad de los actores de amenazas detrás de este malware, lo que hace que sea aún más crítico que los usuarios finales sean cautelosos al navegar y hacer clic en los anuncios.
Sitios web falsos a través de Google Ads
Una de las principales formas en que se distribuye LOBSHOT es mediante el uso de sitios web falsos promocionados a través de Google Ads. Los actores de amenazas crean y mantienen estos sitios web falsificados, que están diseñados para imitar sitios web y servicios legítimos. Al explotar la plataforma Google Ads, los adversarios pueden mostrar sus anuncios maliciosos a usuarios desprevenidos que pueden hacer clic en los anuncios con la impresión de que son genuinos, lo que lleva a la instalación del malware LOBSHOT en sus dispositivos.
Redirección de usuarios a un dominio falso de AnyDesk
Además de utilizar sitios web falsos, el proceso de distribución del malware LOBSHOT también implica redirigir a los usuarios a un dominio falso de AnyDesk. AnyDesk es una popular aplicación de escritorio remoto en la que muchas empresas e individuos confían para obtener acceso y soporte remotos. Los actores de amenazas se han aprovechado de esta confianza al crear un dominio ficticio de AnyDesk para engañar a los usuarios para que descarguen una versión maliciosa del software, que en realidad es el malware LOBSHOT. Este método destaca aún más las astutas tácticas utilizadas por estos ciberdelincuentes para atrapar a las víctimas y ejecutar sus actividades maliciosas.
Instalación a través de Sistema Comprometido
En algunos casos, el malware LOBSHOT puede instalarse en el dispositivo de la víctima a través de un sistema comprometido. Esto puede ocurrir si el usuario, sin saberlo, visita o descarga contenido de un sitio web que ha sido infectado por el malware o si se ha convertido en el objetivo de una campaña de spear-phishing. Una vez que el malware se ha infiltrado con éxito en el dispositivo de la víctima, puede otorgar acceso VNC oculto al actor de amenazas, quien luego puede controlar y manipular el sistema de forma remota como lo desee.
Capacidades de LOBSHOT
El malware LOBSHOT cuenta con una gama de capacidades formidables que lo hacen experto en infiltrarse y explotar los dispositivos de los usuarios. El malware se centra principalmente en la informática de red virtual oculta (hVNC), lo que permite a los atacantes controlar de forma remota los dispositivos infectados y acceder a su interfaz de usuario. Las capacidades principales de LOBSHOT incluyen:
Computación de red virtual oculta (hVNC)
En el corazón de la funcionalidad de LOBSHOT está su capacidad para proporcionar acceso VNC oculto a los dispositivos de las víctimas. A través de hVNC, los atacantes obtienen un método encubierto para controlar de forma remota un dispositivo sin el consentimiento o el conocimiento de la víctima. La función hVNC hace que LOBSHOT sea particularmente peligroso, ya que permite a los malhechores mantener una presencia sigilosa en dispositivos comprometidos mientras realizan varias actividades nefastas.
Control remoto del dispositivo
Las capacidades de hVNC de LOBSHOT permiten a los atacantes tomar el control total de los dispositivos infectados, ejecutar comandos, realizar cambios y acceder a los recursos como si fueran usuarios legítimos. Este nivel de control permite a los actores de amenazas llevar a cabo una amplia gama de actividades maliciosas, incluida la exfiltración de datos, la instalación de malware adicional y la realización de campañas de espionaje. La capacidad de controlar de forma remota el dispositivo de una víctima subraya la importante amenaza que representa LOBSHOT.
Interfaz gráfica de usuario completa (GUI)
El malware también tiene la capacidad de acceder a la interfaz gráfica de usuario (GUI) completa del dispositivo de destino, lo que significa que el atacante puede interactuar visualmente con el entorno de escritorio del dispositivo. Esta característica agrega otra capa de eficiencia y control al malware al facilitar que el actor de amenazas navegue y manipule el dispositivo comprometido. El acceso a la GUI completa le permite al atacante monitorear las actividades del usuario, acceder a información confidencial y realizar acciones atribuidas al usuario legítimo, lo que enfatiza aún más la maldad de LOBSHOT.
Mitigación y Preocupaciones
El malware LOBSHOT presenta preocupaciones importantes tanto para los usuarios individuales como para las organizaciones, debido a sus capacidades VNC ocultas y su asociación con actores de amenazas motivados financieramente como TA505. La mitigación y el abordaje de estas preocupaciones implican comprender los riesgos potenciales e implementar medidas defensivas apropiadas, así como exigir regulaciones más estrictas en plataformas como Google Ads.
Robo de información bancaria y financiera
Una de las principales preocupaciones en torno a LOBSHOT es su potencial para robar información bancaria y financiera de los dispositivos infectados. Su acceso VNC oculto permite a los atacantes infiltrarse en los dispositivos sin ser detectados, monitorear las actividades de los usuarios y capturar datos confidenciales, como credenciales de inicio de sesión, números de cuenta y detalles de transacciones. Dicha información puede explotarse para obtener ganancias económicas o usarse en otros ataques, como el relleno de credenciales o campañas de phishing.
Pide una regulación más estricta de los anuncios en Google
En respuesta a la creciente amenaza de distribución de malware a través de Google Ads, varios investigadores y profesionales de la seguridad han pedido a Alphabet, el holding de Google, que imponga normas más estrictas sobre la aprobación de anuncios. La implementación de procesos de detección de anuncios y mecanismos de verificación más sólidos puede ayudar a minimizar la propagación de malware como LOBSHOT y reducir el riesgo de que los usuarios desprevenidos sean víctimas de tales amenazas. Mientras tanto, los usuarios finales deben tomar precauciones al verificar la legitimidad del dominio que están visitando y el software que están descargando.