Malware baru yang dikenal sebagai ‘LOBSHOT’ yang didistribusikan menggunakan iklan Google memungkinkan pelaku ancaman secara diam-diam mengambil alih perangkat Windows yang terinfeksi menggunakan hVNC.
Awal tahun ini, BleepingComputer dan banyak peneliti keamanan siber melaporkan peningkatan dramatis dalam pelaku ancaman menggunakan iklan Google untuk mendistribusikan malware dalam hasil pencarian.
Kampanye iklan ini menyamar sebagai situs web untuk 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus, dan banyak lagi aplikasi lainnya.
Namun, situs-situs tersebut mendorong malware alih-alih mendistribusikan aplikasi yang sah, termasuk Gozi, RedLine, Vidar, Cobalt Strike, SectorAT, dan Ransomware Kerajaan.
LOBSHOT didistribusikan oleh iklan Google
Dalam laporan baru oleh Elastic Security Labs, peneliti mengungkapkan bahwa trojan akses jarak jauh baru bernama LOBSHOT sedang didistribusikan melalui Google Ads.
Iklan ini mempromosikan perangkat lunak manajemen jarak jauh AnyDesk yang sah tetapi mengarah ke situs AnyDesk palsu di amydeecke[.]situs web.
Situs ini mendorong file MSI berbahaya yang mengeksekusi perintah PowerShell untuk mengunduh DLL dari download-cdn[.]com, sebuah domain secara historis terkait dengan geng ransomware TA505/Clop.
Situs ini mendorong file MSI berbahaya yang mengeksekusi perintah PowerShell untuk mengunduh DLL dari download-cdn[.]com, sebuah domain secara historis terkait dengan geng ransomware TA505/Clop.
Namun, peneliti ancaman Proofpoint Tommy Majar sebelumnya memberi tahu BleepingComputer bahwa domain ini telah berpindah kepemilikan di masa lalu, jadi tidak jelas apakah TA505 masih menggunakannya.
File DLL yang diunduh adalah malware LOBSHOT dan akan disimpan di folder C:\ProgramData dan kemudian dijalankan oleh RunDLL32.exe.
“Kami telah mengamati lebih dari 500 sampel LOBSHOT unik sejak Juli lalu. Sampel yang kami amati dikompilasi sebagai DLL 32-bit atau executable 32-bit biasanya berkisar sekitar 93 KB ke 124 KB,” jelasnya Laporan Lab Keamanan Elastis.
Setelah dijalankan, malware akan memeriksa apakah Pertahanan Microsoft sedang berjalan, dan jika terdeteksi, hentikan eksekusi untuk mencegah deteksi.
Namun, jika Pembela tidak terdeteksi, malware akan mengonfigurasi entri Registri untuk memulai secara otomatis saat masuk ke Windows dan kemudian mengirimkan informasi sistem dari perangkat yang terinfeksi, termasuk proses yang sedang berjalan.
Malware juga akan memeriksa 32 ekstensi dompet cryptocurrency Chrome, sembilan ekstensi dompet Edge, dan 11 ekstensi dompet Firefox.
Setelah menghitung ekstensi, malware akan menjalankan file di C:\ProgramData. Namun, karena file itu tidak ada dalam analisis mereka, Elastic tidak yakin apakah itu digunakan untuk mencuri data ekstensi atau untuk tujuan lain.
Sementara mencuri ekstensi mata uang kripto adalah hal biasa, Elastic juga menemukan bahwa malware tersebut menyertakan modul hVNC, memungkinkan pelaku ancaman untuk mengakses perangkat yang terinfeksi secara diam-diam dari jarak jauh.
Diam-diam mengendalikan perangkat korban
hVNC, atau komputasi jaringan virtual tersembunyiadalah perangkat lunak akses jarak jauh VNC yang dimodifikasi untuk mengontrol desktop tersembunyi di perangkat yang terinfeksi, bukan desktop utama yang digunakan oleh pemilik perangkat.
Hal ini memungkinkan pelaku ancaman untuk mengontrol komputer desktop Windows dari jarak jauh tanpa diketahui oleh korban.
Elastic mengatakan LOBSHOT menyebarkan modul hVNC yang memungkinkan pelaku ancaman mengontrol desktop tersembunyi menggunakan mouse dan keyboard mereka seolah-olah mereka berada di depannya.
“Pada tahap ini, mesin korban akan mulai mengirimkan tangkapan layar yang mewakili desktop tersembunyi yang dikirimkan ke klien pendengar yang dikendalikan oleh penyerang,” jelas Elastic.
“Penyerang berinteraksi dengan klien dengan mengontrol keyboard, mengklik tombol, dan menggerakkan mouse, kemampuan ini memberi penyerang kendali jarak jauh penuh pada perangkat.”
Dengan menggunakan hVNC, pelaku ancaman memiliki kendali penuh atas perangkat, memungkinkan mereka untuk menjalankan perintah, mencuri data, dan bahkan menyebarkan muatan malware lebih lanjut.
Karena AnyDesk umumnya digunakan di lingkungan bisnis, malware kemungkinan besar digunakan untuk akses awal ke jaringan perusahaan dan menyebar secara lateral ke perangkat lain.
Jenis akses ini dapat menyebabkan serangan ransomware, pemerasan data, dan serangan lainnya.
