最近发现的一个后门和凭据窃取者正在冒充合法软件下载,作为引诱企业员工下载恶意软件的复杂行动的一部分。Elastic Software的研究人员在最近的一篇博文中披露,他们观察到了名为LOBSHOT的恶意软件,该软件通过针对AnyDesk等受欢迎远程工作应用程序的恶意Google广告传播。“攻击者通过一个精心设计的虚假网站通过Google广告宣传他们的恶意软件,并将后门嵌入到对用户来说看起来是合法安装程序的文件中,”Elastic Software的Daniel Stepanic在文章中写道。
此外,众所周知传播Clop勒索软件的威胁组织TA505似乎是LOBSHOT背后的幕后黑手,LOBSHOT是一个后门,具有财务动机,从受害者那里窃取银行、加密货币和其他凭证和数据,研究人员表示。用于传播LOBSHOT的虚假下载网站执行了来自download-cdn[.]com的DLL,这是一个与该威胁组织有关的历史性域名,该威胁组织还因Dridex、Locky和Necurs活动而闻名。根据与TA505相关的其他基础设施,这些基础设施与该活动有关,研究人员“有中等信心评估”LOBSHOT是该组织利用的一种新的恶意软件功能,Stepanic写道。此外,研究人员每周都会看到与此系列相关的新样本,并且“预计它将持续存在一段时间”,他写道。
利用恶意Google广告
与今年早些时候观察到的类似威胁活动一样,潜在受害者通过点击谷歌广告暴露于LOBSHOT之中,这些广告声称是合法的工作软件,例如AnyDesk。这种策略类似于今年早些时候观察到的活动,潜在受害者通过点击谷歌广告来暴露于LOBSHOT之中,这些广告声称是针对合法工作软件(如AnyDesk)的广告。这与今年早些时候观察到的一种威胁活动相似,该活动通过从谷歌广告引导用户到伪装成受欢迎远程工作软件(如AnyDesk和Zoom)的下载站点来传播恶意软件服务Rhadamanthys Stealer。
的确,这些活动与Elastic Search所观察到的自今年早些时候以来的恶意广告趋势相关,该趋势导致“恶意广告的大幅增加”,根据Elastic Software的说法。Stepanic表示:“安全研究人员自今年年初以来一直观察到类似的感染链,这些感染链的共同之处是用户正在搜索合法软件下载,但最终从谷歌的广告推广中获得了非法软件。”这种行为反映了攻击者在滥用和扩大他们的影响力方面的持续趋势,“通过恶意广告,如谷歌广告,冒充合法软件”,他说。Stepanic承认这类恶意软件可能看起来不起眼,并且影响范围有限,但它们通过“完全交互的远程控制功能”对威胁行为者提供帮助,帮助他们获取对企业网络的初始访问权限并进行其他恶意活动。
LOBSHOT感染链
LOBSHOT感染链的开始是某人在互联网上搜索某种合法软件,谷歌广告会提供一个推广结果,但实际上是一个恶意网站。Stepanic解释道:“在一个观察到的案例中,恶意广告是一个合法的远程桌面解决方案AnyDesk的广告。仔细检查URL,它指向https://www.amydecke[.]website,而不是合法的AnyDesk URL,https://www.anydesk[.]com。”点击该广告会将用户带到一个看起来合法的着陆页,上面有用户正在寻找的软件的下载链接。然而,这实际上是一个MSI安装程序,一旦下载,就会在用户的计算机上执行,研究人员说。Stepanic写道:“着陆页非常令人信服,与合法软件具有类似的品牌,并包含指向MSI安装程序的“立即下载”按钮。”然后,MSI启动一个PowerShell,通过rundll32下载LOBSHOT,开始与攻击者拥有的命令和控制服务器进行通信,根据Elastic Software的说法。
逃避和缓解
LOBSHOT的核心功能之一是其hVNC(Hidden Virtual Network Computing)组件,这是一个模块,允许攻击者直接且不被察觉地访问机器,Stepanic指出。他写道:“这个功能在规避欺诈检测系统方面继续取得成功,并经常作为插件集成到许多流行的恶意软件系列中。”与当前使用的大多数恶意软件一样,LOBSHOT还使用动态导入解析来规避安全产品,减缓对其功能的快速识别,研究人员表示。Stepanic写道:“这个过程涉及在运行时解析恶意软件所需的Windows API的名称,而不是预先将导入项放入程序中。”研究人员提供了指向Elastic Search GitHub页面的链接,这些页面展示了与各种LOBSHOT相关的进程有关的预防策略,包括可疑的Windows资源管理器执行、可疑的父子关系和Windows.Trojan.Lobshot。
该帖子还包括组织可以使用的方向,用于创建EQL查询,以搜索与研究人员观察到的LOBSHOT执行相关的类似可疑行为的祖父、父母和子关系。