Malware LOBSHOT
Se descubrió que una nueva amenaza de malware llamada LOBSHOT se distribuye a través de Google Ads y es capaz de infectar dispositivos Windows que usan hVNC. Los investigadores de ciberseguridad observaron que el malware se promocionaba mediante anuncios que parecían ser del software legítimo de administración remota AnyDesk. Sin embargo, los anuncios maliciosos conducen a los usuarios a un sitio web falso. Esta página, 'amydeecke.website', envía un archivo MSI malicioso que, a su vez, ejecuta un comando de PowerShell. El objetivo es descargar una DLL de download-cdn[.]com, un dominio que anteriormente se ha asociado con las actividades ciberdelincuentes del grupo de ransomware TA505/Clop.
El archivo DLL descargado es el malware LOBSHOT y se guarda en la carpeta C:\ProgramData, donde RunDLL32.exe lo ejecuta. Según un informe, que reveló detalles sobre LOBSHOT, los investigadores han observado más de 500 muestras únicas de LOBSHOT desde julio de 2022. Las muestras identificadas generalmente se compilan como DLL de 32 bits o ejecutables de 32 bits que oscilan entre 93 KB y 124 KB. Una vez que se ejecuta en los dispositivos violados, LOBSHOT verifica si Microsoft Defender se está ejecutando y finaliza su ejecución si se detecta.
Tabla de contenido
Los ciberdelincuentes explotan los anuncios de Google para distribuir amenazas de malware
Los expertos en ciberseguridad han observado un aumento sustancial en el uso de los anuncios de Google por parte de los actores de amenazas para propagar malware a través de los resultados de búsqueda. Las campañas publicitarias maliciosas implicaron la imitación de varios sitios web y productos de software legítimos, como 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus y varias otras aplicaciones.
A pesar de la impresión de legitimidad que dan los anuncios, los sitios web a los que redireccionan están diseñados para difundir malware, incluidos Gozi , RedLine , Vidar , Cobalt Strike , SectoRAT y Royal Ransomware , en lugar de proporcionar aplicaciones genuinas.
El malware LOBSHOT apunta a extensiones y billeteras de criptomonedas
Si LOBSHOT no encuentra señales de la presencia de Microsoft Defender, procederá con su programación amenazante. La amenaza configurará automáticamente las entradas del Registro para garantizar su inicio en cada arranque de Windows. LOBSHOT luego recopilará y comenzará a transmitir información del sistema, incluidos todos los procesos en ejecución, desde el dispositivo infectado. Además, el malware busca la presencia de 32 extensiones de billetera de criptomonedas Chrome, nueve extensiones de billetera Edge y 11 extensiones de billetera Firefox.
Al detectar estas extensiones, el malware ejecuta un archivo en la carpeta C:\ProgramData. Sin embargo, los investigadores no están seguros de si el propósito del archivo es extraer datos de extensión o alguna otra acción dañina.
Aunque recopilar extensiones de criptomonedas es un objetivo común para el malware, el malware LOBSHOT también tiene un módulo hVNC incorporado en su estructura. Este módulo permite a los actores de amenazas acceder a un dispositivo infectado de forma remota y discreta.
El malware LOBSHOT proporciona acceso remoto a los dispositivos violados
La capacidad de controlar de forma remota una computadora de escritorio con Windows sin el conocimiento de la víctima es posible gracias al módulo hVNC (cómputo de red virtual oculta).
El malware conocido como LOBSHOT incluye un módulo hVNC, que permite a los atacantes manipular el escritorio oculto como si estuvieran físicamente presentes frente a él, usando su teclado y mouse.
Una vez que se activa el módulo, la máquina de la víctima comienza a transmitir capturas de pantalla del escritorio oculto a un cliente de escucha controlado por el atacante. El atacante puede interactuar con el cliente manipulando el teclado, haciendo clic en los botones y moviendo el mouse, lo que les otorga un control remoto completo del dispositivo.
Con acceso completo otorgado por hVNC, los actores de amenazas pueden llevar a cabo diversas actividades, como ejecutar comandos, robar datos e implementar cargas útiles de malware adicionales.
