LOBSHOT: um Trojan Financeiro Furtivo e Info Stealer entregue por meio de anúncios do Google
2 de Maio de 2023

Em mais um exemplo de como os atores de ameaças estão abusando do Google Ads para servir malware, um ator de ameaças foi observado utilizando a técnica para entregar um novo trojan financeiro baseado no Windows e um ladrão de informações chamado LOBSHOT.

"LOBSHOT continua a coletar vítimas enquanto permanece sob o radar", disse o pesquisador do Elastic Security Labs, Daniel Stepanic, em uma análise publicada na semana passada.

"Uma das principais capacidades do LOBSHOT é em torno de seu componente hVNC (Computação Virtual de Rede Escondida).

Esses tipos de módulos permitem acesso direto e não observado à máquina."

A empresa americana-holandesa atribuiu a cepa de malware a um ator de ameaça conhecido como TA505 com base em infraestrutura historicamente conectada ao grupo.

TA505 é um sindicato de e-crime motivado financeiramente que se sobrepõe a clusters de atividade rastreados sob os nomes Evil Corp, FIN11 e Indrik Spider.

O mais recente desenvolvimento é significativo porque é um sinal de que o TA505, associado ao trojan bancário Dridex, está mais uma vez expandindo seu arsenal de malware para perpetrar roubo de dados e fraude financeira.

O LOBSHOT, com amostras iniciais datadas de julho de 2022, é distribuído por meio de anúncios falsos do Google para ferramentas legítimas como AnyDesk, hospedados em uma rede de páginas de destino parecidas mantidas pelos operadores.

O malware incorpora resolução dinâmica de importação (ou seja, resolvendo os nomes das APIs do Windows necessárias em tempo de execução), verificações anti-emulação e ofuscação de strings para evitar a detecção por software de segurança.

Uma vez instalado, ele faz alterações no Registro do Windows para configurar a persistência e sifona dados de mais de 50 extensões de carteira de criptomoeda presentes em navegadores da web como Google Chrome, Microsoft Edge e Mozilla Firefox.

As outras características notáveis do LOBSHOT giram em torno de sua capacidade de acessar remotamente o host comprometido por meio de um módulo hVNC e realizar ações furtivas nele sem atrair a atenção da vítima.

"Os grupos de ameaças continuam a aproveitar técnicas de malvertising para disfarçar software legítimo com backdoors como o LOBSHOT", disse Stepanic.

"Esses tipos de malware parecem pequenos, mas acabam embalando funcionalidades significativas que ajudam os atores de ameaças a se mover rapidamente durante as fases de acesso inicial com capacidades de controle remoto totalmente interativas."

Os resultados também destacam como um número crescente de adversários está adotando malvertising e envenenamento de otimização de mecanismos de pesquisa (SEO) como uma técnica para redirecionar usuários para sites falsos e baixar instaladores trojanizados de software popular.

De acordo com dados da eSentire, os atores de ameaças por trás do GootLoader têm sido ligados a uma sequência de ataques direcionados a escritórios de advocacia e departamentos jurídicos corporativos nos EUA, Canadá, Reino Unido e Austrália.

O GootLoader, ativo desde 2018 e que funciona como uma operação de acesso inicial como serviço para ataques de ransomware, emprega envenenamento de SEO para atrair vítimas que procuram acordos e contratos para blogs WordPress infectados que apontam para links contendo o malware.

Além de implementar geofencing para atingir vítimas em regiões selecionadas, a cadeia de ataque é projetada de forma que o malware só possa ser baixado uma vez por dia nos sites sequestrados para evitar a descoberta pelos respondentes de incidentes.

O uso do método de endereço IP pelo GootLoader para rastrear vítimas já hackeadas, descobriu a eSentire, pode ser usado contra ele para bloquear preventivamente os endereços IP dos usuários finais e impedir que as organizações sejam potencialmente infectadas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...