נוזקה חדשה המכונה LOBSHOT מופצת באמצעות מודעות ממומנות בגוגל – Google Ads, מאפשרת להאקרים להשתלט בחשאי על מכשירי Windows נגועים באמצעות תוכנת השתלטות מרחוק. יש לציין כי מוקדם יותר השנה דיווחו BleepingComputer וחוקרי אבטחת סייבר רבים אחרים, על עלייה דרמטית במספר ההאקרים המשתמשים במודעות ממומנות של גוגל כדי להפיץ נוזקות בתוצאות החיפוש. מסעות הפרסום הללו התחזו לאתרי האינטרנט 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ועוד אפליקציות רבות. עם זאת, אתרים מזויפים אלו הביאו קורבנות להורדת נוזקות כגון Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT ו- Royal Ransomware.
בדוח חדש של Elastic Security Labs חשפו חוקרי אבטחת סייבר כי טרויאני חדש לגישה מרחוק בשם LOBSHOT מופץ דרך Google Ads. מודעות אלו קידמו את תוכנת הניהול מרחוק הלגיטימית AnyDesk אך הובילו לאתר AnyDesk מזויף. אתר זה דחף להורדה קובץ MSI זדוני שביצע פקודת PowerShell להורדת DLL מ- download-cdn[.]com – דומיין המשויך היסטורית לכנופיית הכופרה TA505/Clop. קובץ ה- DLL המורד על ידי הקורבן הינו הנוזקה LOBSHOT והוא נשמר בתיקייה C:\ProgramData ולאחר מכן יבוצע על ידי RunDLL32.exe. לאחר הביצוע, תבדוק הנוזקה אם Microsoft Defender פועל ואם זוהה, תסיים את הביצוע כדי למנוע זיהוי. במידה ו- Defender לא מזוהה, תגדיר הנוזקה את ערכי הרישום להתחיל אוטומטית בעת הכניסה ל- Windows ולאחר מכן תשדר מידע מערכת מהמכשיר הנגוע, כולל תהליכים פעילים.
הנוזקה גם תבדוק 32 הרחבות לארנק מטבעות קריפטוגרפיים של Chrome, הרחבות לארנק Edge ו- 11 הרחבות לארנק Firefox. לאחר ספירת ההרחבות תפעיל הנוזקה קובץ ב- C:\ProgramData. עם זאת, עדיין לא בטוח אם משמש קובץ זה לגניבת נתוני ההרחבה או למטרה אחרת.
בעוד שגניבת הרחבות מטבעות קריפטוגרפיים היא נפוצה, גילתה Elastic גם שהנוזקה כוללת מודול hVNC, המאפשר להאקרים לגשת מרחוק בשקט למכשיר נגוע. hVNC – hidden virtual network computing, היא תוכנת גישה מרחוק ששונתה כדי לשלוט בשולחן עבודה באופן נסתר במכשיר הנגוע ולא בשולחן העבודה הראשי המשמש את בעל המכשיר. הדבר מאפשר להאקרים לשלוט מרחוק במחשב שולחני של Windows מבלי שהקורבן יידע שזה קורה. Elastic טוענים ש- LOBSHOT פורס מודול hVNC המאפשר להאקרים לשלוט בשולחן העבודה הנסתר באמצעות העכבר והמקלדת שלהם כאילו היו מולו: "בשלב זה תתחיל מכונת הקורבן לשלוח צילומי מסך המייצגים את שולחן העבודה הנסתר הנשלח להאקרים"; "ההאקר מקיים אינטראקציה עם מחשב הקורבן על ידי שליטה במקלדת, לחיצה על כפתורים והזזת העכבר ויכולות אלו מספקות לתוקף שליטה מרחוק מלאה על המכשיר".
באמצעות hVNC יש להאקרים שליטה מלאה על המכשיר, מה שמאפשר להם לבצע פקודות, לגנוב נתונים ואפילו לפרוס מטענים נוספים של נוזקות. מכיוון ש- AnyDesk נמצא בשימוש נפוץ בסביבות עסקיות, סביר להניח שהנוזקה משמשת לגישה ראשונית לרשתות ארגוניות ולהתפשטות לרוחב למכשירים אחרים. סוג זה של גישה עלול להוביל למתקפות כופרה, סחיטת נתונים ומתקפות סייבר אחרות.
