Un nouveau logiciel malveillant connu sous le nom de « LOBSHOT » distribué à l’aide de publicités Google permet aux acteurs de la menace de prendre furtivement le contrôle des appareils Windows infectés à l’aide de hVNC.
Plus tôt cette année, Breachtrace et de nombreux chercheurs en cybersécurité ont signalé une augmentation spectaculaire du nombre d’acteurs malveillants utilisant les publicités Google pour diffuser des logiciels malveillants dans les résultats de recherche.
Ces campagnes publicitaires se sont fait passer pour des sites Web pour 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus et bien d’autres applications.
Cependant, ces sites ont poussé des logiciels malveillants au lieu de distribuer des applications légitimes, notamment Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT et Royal Ransomware.
LOBSHOT distribué par Google ads
Dans un nouveau rapport d’Elastic Security Labs, des chercheurs ont révélé qu’un nouveau cheval de Troie d’accès à distance nommé LOBSHOT était distribué via Google Ads.
Ces publicités faisaient la promotion du logiciel légitime de gestion à distance AnyDesk, mais ont conduit à un faux site AnyDesk sur le site Web amydeecke[.].
Ce site a poussé un fichier MSI malveillant qui a exécuté une commande PowerShell pour télécharger une DLL à partir de download-cdn[.]com, un domaine historiquement associé au gang de rançongiciels TA505/Clop.
Ce site a poussé un fichier MSI malveillant qui a exécuté une commande PowerShell pour télécharger une DLL à partir de download-cdn[.]com, un domaine historiquement associé au gang de rançongiciels TA505/Clop.
Cependant, le chercheur sur les menaces de Proofpoint, Tommy Madjar, a précédemment déclaré à Breachtrace que ce domaine avait changé de propriétaire dans le passé, il n’est donc pas clair si TA505 l’utilise toujours.
Le fichier DLL téléchargé est le malware LOBSHOT et sera enregistré dans le dossier C:\ProgramData puis exécuté par RunDLL32.exe.
« Nous avons observé plus de 500 échantillons LOBSHOT uniques depuis juillet dernier. Les échantillons que nous avons observés sont compilés sous forme de DLL 32 bits ou d’exécutables 32 bits généralement compris entre 93 et 124 Ko », explique le rapport d’Elastic Security Labs.
Une fois exécuté, le logiciel malveillant vérifie si Microsoft Defender est en cours d’exécution et, s’il est détecté, met fin à l’exécution pour empêcher la détection.
Cependant, si Defender n’est pas détecté, le logiciel malveillant configurera les entrées de registre pour qu’elles démarrent automatiquement lors de la connexion à Windows, puis transmettent les informations système de l’appareil infecté, y compris les processus en cours d’exécution.
Le logiciel malveillant recherchera également 32 extensions de portefeuille de crypto-monnaie Chrome, neuf extensions de portefeuille Edge et 11 extensions de portefeuille Firefox.
Après avoir énuméré les extensions, le malware exécutera un fichier dans C:\ProgramData. Cependant, comme ce fichier n’existait pas dans leur analyse, Elastic ne sait pas s’il est utilisé pour voler les données d’extension ou à d’autres fins.
Bien que le vol d’extensions de crypto-monnaie soit courant, Elastic a également découvert que le logiciel malveillant comprenait un module hVNC, permettant aux acteurs de la menace d’accéder discrètement à distance à un appareil infecté.
Contrôle furtif des appareils des victimes
hVNC, ou réseau informatique virtuel caché, est un logiciel d’accès à distance VNC modifié pour contrôler un bureau caché sur l’appareil infecté plutôt que le bureau principal utilisé par le propriétaire de l’appareil.
Cela permet à un pirate de contrôler à distance un ordinateur de bureau Windows sans que la victime ne sache que cela se produit.
Selon Elastic, LOBSHOT déploie un module hVNC qui permet aux acteurs de la menace de contrôler le bureau caché à l’aide de leur souris et de leur clavier comme s’ils étaient devant.
« A ce stade, la machine victime commencera à envoyer des captures d’écran qui représentent le bureau caché qui est envoyé à un client d’écoute contrôlé par l’attaquant », explique Elastic.
« L’attaquant interagit avec le client en contrôlant le clavier, en cliquant sur les boutons et en déplaçant la souris, ces capacités fournissent à l’attaquant un contrôle à distance complet de l’appareil. »
En utilisant hVNC, les acteurs de la menace ont un contrôle total sur l’appareil, ce qui leur permet d’exécuter des commandes, de voler des données et même de déployer d’autres charges utiles de logiciels malveillants.
Comme AnyDesk est couramment utilisé dans les environnements professionnels, le logiciel malveillant est probablement utilisé pour l’accès initial aux réseaux d’entreprise et pour se propager latéralement à d’autres appareils.
Ce type d’accès pourrait conduire à des attaques de rançongiciels, à l’extorsion de données et à d’autres attaques.