یک درب پشتی و دزد مدارک تازه کشف شده، به عنوان بخشی از یک کمپین پیچیده برای فریب دادن کارگران شرکت به دانلود بدافزار، به عنوان دانلود نرم افزار قانونی معرفی شده است.
محققان Elastic Software مشاهده کردند که این بدافزار به نام LOBSHOT از طریق تبلیغات مخرب Google برای برنامه های کاربردی محبوب نیروی کار از راه دور مانند AnyDesk منتشر می شود. پست اخیر وبلاگ
دانیل استپانیک از نرمافزار Elastic در این پست نوشت: مهاجمان بدافزار خود را با استفاده از یک طرح پیچیده از وبسایتهای جعلی از طریق Google Ads و جاسازی دربهای پشتی در مواردی که به نظر کاربران به عنوان نصبکنندههای قانونی میرسد، تبلیغ کردند.
علاوه بر این، گروه تهدید TA505، شناخته شده برای گسترش کلوپ باج افزارمحققان گفتند، به نظر می رسد در پشت LOBSHOT، یک درب پشتی است که به نظر می رسد انگیزه مالی دارد، و به سرقت بانک ها، رمزارزها، و دیگر اعتبار و داده ها از قربانیان می پردازد. سایت دانلود جعلی که برای انتشار LOBSHOT استفاده میشود، یک DLL از download-cdn[.]com اجرا میکند، دامنهای که از لحاظ تاریخی با این گروه تهدید مرتبط است – همچنین به دلیل دست داشتن در دریدکسآنها گفتند که کمپین های Locky و Necurs.
استپانیک نوشت، بر اساس این زیرساخت دیگر مرتبط با TA505 که در کمپین مورد استفاده قرار میگیرد، محققان با اطمینان متوسطی ارزیابی میکنند که LOBSHOT یک بدافزار جدید است که توسط این گروه استفاده شده است. او نوشت: علاوه بر این، محققان هر هفته نمونههای جدیدی مربوط به این خانواده را مشاهده میکنند و "انتظار دارند تا مدتی در دسترس باشند".
استفاده از تبلیغات مخرب گوگل
مانند کمپین های تهدید مشابهی که در اوایل سال مشاهده شد، قربانیان بالقوه با کلیک بر روی تبلیغات گوگل که به نظر نرم افزار نیروی کار قانونی است، مانند AnyDesk، در معرض LOBSHOT قرار می گیرند. این تاکتیک مشابه است یکی در ژانویه مشاهده شد گسترش بدافزار به عنوان سرویس Rhadamanthys Stealer از طریق تغییر مسیرهای وب سایت از Google Ads که همچنین به عنوان سایت های دانلود برای نرم افزارهای محبوب نیروی کار از راه دور مانند AnyDesk و Zoom ظاهر می شوند.
به گزارش الاستیک سرچ، در واقع، این کمپینها با «جهش بزرگی» در پذیرش تبلیغات نادرست مرتبط هستند که محققان امنیتی از اوایل امسال مشاهده کردهاند.
استپانیک نوشت: «زنجیرههای عفونت مشابهی در جامعه امنیتی با مشترکات کاربرانی که برای دانلود نرمافزارهای قانونی جستجو میکردند مشاهده شد که در نهایت نرمافزار نامشروع را از تبلیغات تبلیغاتی Google دریافت کردند.
او گفت که این فعالیت منعکس کننده روند تداوم دشمنان در سوء استفاده و افزایش دسترسی آنها "از طریق تبلیغات نادرست مانند Google Ads با جعل هویت نرم افزارهای قانونی" است.
استپانیک اذعان داشت که این نوع بدافزارها ممکن است بیاهمیت به نظر برسند و دسترسی محدودی دارند، اما در نهایت از طریق «قابلیتهای کنترل از راه دور کاملاً تعاملی» ضربه بزرگی میزنند تا به عوامل تهدید کمک کنند تا به شبکههای شرکتی دسترسی اولیه داشته باشند و در سایر فعالیتهای مخرب شرکت کنند.
زنجیره عفونت LOBSHOT
زنجیره آلودگی LOBSHOT زمانی شروع میشود که شخصی جستجوی اینترنتی را برای یک نرمافزار قانونی انجام میدهد که Google Ads برای آن یک نتیجه تبلیغاتی ارائه میدهد که در واقع یک سایت مخرب است.
"در یک نمونه مشاهده شدهاستپانیک توضیح داد، تبلیغ مخرب برای یک راه حل قانونی دسکتاپ از راه دور، AnyDesk بود. "بررسی دقیق URL به جای URL قانونی AnyDesk به وب سایت https://www.amydecke[.] می رود، https://www.anydesk[.]com"
با کلیک بر روی آن تبلیغ، کاربر به صفحه فرود با ظاهری قانونی برای دانلود نرم افزار مورد نظر کاربر هدایت می شود. به گفته محققان، با این حال، این در واقع یک نصب کننده MSI است که پس از دانلود، بر روی رایانه کاربر اجرا می شود.
Stepanic نوشت: "صفحات فرود بسیار متقاعد کننده بودند، با نام تجاری مشابه نرم افزار قانونی و شامل دکمه های Download Now که به نصب کننده MSI اشاره می کردند."
MSI سپس PowerShell را راهاندازی میکند که LOBSHOT را از طریق rundll32 دانلود میکند، که به گفته نرمافزار Elastic، ارتباط با سرور فرمان و کنترل متعلق به مهاجم را آغاز میکند.
فرار و تخفیف
Stepanic خاطرنشان کرد: یکی از قابلیتهای اصلی LOBSHOT در اطراف مؤلفه hVNC (محاسبات شبکه مجازی پنهان) آن است، ماژولی که امکان «دسترسی مستقیم و بدون مشاهده به دستگاه» را فراهم میکند و توسط مهاجمان به عنوان راهی برای فرار از شناسایی استفاده میشود.
او نوشت: «این ویژگی همچنان در دور زدن سیستمهای تشخیص تقلب به موفقیت خود ادامه میدهد و اغلب به عنوان پلاگین در بسیاری از خانوادههای محبوب ساخته میشود.
به گفته محققان، LOBSHOT مانند بسیاری از بدافزارهای مورد استفاده در حال حاضر، از وضوح واردات پویا برای فرار از محصولات امنیتی و کاهش سرعت شناسایی سریع قابلیت های آن استفاده می کند.
Stepanic نوشت: "این فرآیند شامل حل نام APIهای ویندوز است که بدافزار در زمان اجرا به آن نیاز دارد، در مقابل وارد کردن قبل از زمان به برنامه."
محققان پیوندهایی به صفحات مختلف Elastic Search GitHub اضافه کردند که تاکتیکهای پیشگیری را برای جلوگیری از به خطر انداختن بدافزارهایی مانند LOBSHOT مرتبط با فرآیندهای مختلف آن، از جمله اجرای مشکوک Windows Explorer, رابطه مشکوک والدین و فرزندو Windows.Trojan.Lobshot.
این پست همچنین شامل دستورالعملهایی است که سازمانها میتوانند از آنها برای ایجاد پرس و جوهای EQL برای جستجوی رفتارهای مشکوک مشابه مربوط به روابط پدربزرگ، پدربزرگ، والدین و فرزند استفاده کنند که محققان اجرای LOBSHOT را مشاهده کردند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/remote-workforce/fake-google-ads-lure-corporate-workers-download-lobshot-backdoor
- :است
- $UP
- 7
- a
- دسترسی
- مطابق
- تصدیق شده
- فعالیت
- بازیگران
- واقعا
- Ad
- اتخاذ
- آگهی
- پیش
- اجازه می دهد تا
- همچنین
- an
- و
- رابط های برنامه کاربردی
- ظاهر می شود
- برنامه های کاربردی
- هستند
- دور و بر
- AS
- مرتبط است
- At
- اجتناب از
- درپشتی
- پشتيباني
- بانکداری
- BE
- بوده
- پشت سر
- بودن
- بزرگ
- بلاگ
- علامت گذاری
- اما
- by
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- قابلیت های
- دقیق
- زنجیر
- زنجیر
- کودک
- ارتباط
- انجمن
- جزء
- سازش
- کامپیوتر
- محاسبه
- اعتماد به نفس
- ادامه
- کنترل
- هسته
- شرکت
- ایجاد
- مجوزها و اعتبارات
- عضو سازمانهای سری ومخفی
- در حال حاضر
- دانیل
- داده ها
- ارائه
- نشان دادن
- دسکتاپ
- کشف
- مستقیم
- کشف
- دامنه
- پایین
- دانلود
- دانلود
- دوبله شده
- پویا
- هر
- پیش از آن
- دارای جزئیات - بسیط
- تعبیه کردن
- کار می کند
- پایان
- تعامل
- اجرا می کند
- اجرا کردن
- انتظار
- توضیح داده شده
- جستجوگر
- قرار گرفتن در معرض
- جعلی
- خانواده
- خانواده
- ویژگی
- به لحاظ مالی
- برای
- از جانب
- کاملا
- افزایش
- گرفتن
- GitHub
- می رود
- گوگل
- گروه
- دست
- آیا
- he
- کمک
- پنهان
- به لحاظ تاریخی
- اما
- HTTPS
- شناسایی
- واردات
- واردات
- in
- در دیگر
- مشمول
- شامل
- از جمله
- افزایش
- شالوده
- اول
- در عوض
- تعاملی
- اینترنت
- به
- IT
- ITS
- JPG
- شناخته شده
- فرود
- بزرگ
- راه اندازی
- منجر می شود
- قانونی
- پسندیدن
- محدود شده
- مرتبط
- لینک ها
- دستگاه
- نرم افزارهای مخرب
- بسیاری
- ممکن است..
- ماژول ها
- علاوه بر این
- اکثر
- انگیزه
- MSI
- نام
- نیازهای
- شبکه
- شبکه
- جدید
- اشاره کرد
- اکنون
- of
- غالبا
- on
- یک بار
- مخالف
- سازمان های
- دیگر
- با ما
- بخش
- انجام می دهد
- اصرار
- دادن
- افلاطون
- هوش داده افلاطون
- PlatoData
- پلاگین ها
- محبوب
- پست
- پتانسیل
- PowerShell را
- پیشگیری
- روند
- فرآیندهای
- محصولات
- برنامه
- ترویج
- نمایش ها
- سریع
- رسیدن به
- بازتاب می دهد
- مربوط
- روابط
- دور
- محققان
- وضوح
- رفع
- نتیجه
- s
- سعید
- جستجو
- جستجو
- تیم امنیت لاتاری
- مشاهده
- به دنبال
- به نظر می رسد
- مشابه
- پس از
- سایت
- سایت
- کند
- نرم افزار
- راه حل
- برخی از
- کسی
- سنبله
- گسترش
- گسترش
- موفق
- چنین
- مشکوک
- سیستم های
- تاکتیک
- که
- La
- شان
- سپس
- اینها
- آنها
- این
- در این سال
- تهدید
- بازیگران تهدید
- از طریق
- گره خورده است
- زمان
- به
- روند
- تروجان
- انواع
- URL
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- مختلف
- بسیار
- از طريق
- قربانیان
- مجازی
- بود
- مسیر..
- سایت اینترنتی
- وب سایت
- هفته
- بود
- چی
- چه زمانی
- که
- پنجره
- با
- کارگران
- نیروی کار
- سال
- زفیرنت
- زوم