Noul malware LOBSHOT oferă acces VNC ascuns la dispozitivele Windows

Un nou malware cunoscut sub numele de LOBSHOT distribuit prin intermediul reclamelor Google permite atacatorilor să preia controlul asupra dispozitivelor Windows infectate folosind hVNC.

Campaniile de publicitate impersonează site-uri web ale 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus și multe alte aplicații.

Aceste site-uri au promovat programe malware în loc să distribuie aplicații legitime, inclusiv Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT și Royal Ransomware.

Software-ul legitim AnyDesk remote management software  era promovat prin intermediul reclamelor care mai apoi redirecționau către un site fals AnyDesk la amydeecke[.]website.

Acest site a distribuit un fișier MSI malițios care a executat o comandă PowerShell pentru a descărca un DLL de la download-cdn[.]com, un domeniu asociat istoric cu gruparea de ransomware TA505/Clop.

Fișierul DLL descărcat este malware-ul LOBSHOT și va fi salvat în folderul C:\ProgramData și apoi executat de RunDLL32.exe.

Odată executat, malware-ul verifică dacă Microsoft Defender rulează iar în caz afirmativ va întrerupe execuția pentru a preveni detectarea.

LOBSHOT implementează un modul hVNC care permite atacatorilor să controleze desktopul folosind mouse-ul și tastatura.

Acest tip de acces ar putea duce la atacuri ransomware, exfiltrare de date și alte atacuri.

Sursă: https://www.bleepingcomputer.com/news/security/new-lobshot-malware-gives-hackers-hidden-vnc-access-to-windows-devices/