マルチライセンス割引
Threat Database Malware LOBSHOT マルウェア

LOBSHOT マルウェア

Malware, Remote Administration Tools, StealersMezoまで
翻訳内容:
日本語

LOBSHOT と呼ばれる新しいマルウェアの脅威が、Google 広告を通じて配布されていることが判明しており、hVNC を使用して Windows デバイスに感染することができます。このマルウェアは、正規の AnyDesk リモート管理ソフトウェアのように見える広告によって宣伝されていることをサイバーセキュリティ研究者が観察しました。しかし、悪意のある広告はユーザーを偽の Web サイトに誘導します。このページ「amydeecke.website」は、悪意のある MSI ファイルをプッシュし、それが PowerShell コマンドを実行します。目標は、以前に TA505/Clop ランサムウェア グループのサイバー犯罪活動に関連していたドメインである download-cdn[.]com から DLL をダウンロードすることです。

ダウンロードされた DLL ファイルは LOBSHOT マルウェアであり、C:\ProgramData フォルダーに保存され、RunDLL32.exe によって実行されます。 LOBSHOT の詳細を明らかにしたレポートによると、研究者は 2022 年 7 月以降、500 を超える固有の LOBSHOT サンプルを観察しました。特定されたサンプルは通常、93 KB から 124 KB の範囲の 32 ビット DLL または 32 ビット実行可能ファイルとしてコンパイルされます。侵害されたデバイスで実行されると、LOBSHOT は Microsoft Defender が実行されているかどうかを確認し、検出された場合はその実行を終了します。

サイバー犯罪者が Google 広告を悪用してマルウェアの脅威を拡散

サイバーセキュリティの専門家は、攻撃者が Google 広告を使用して、検索結果を通じてマルウェアを拡散することが急増していることを確認しています。悪意のある広告キャンペーンには、7-ZIP、VLC、OBS、Notepad++、CCleaner、TradingView、Rufus、およびその他のいくつかのアプリケーションなど、さまざまな Web サイトおよび正規のソフトウェア製品の模倣が含まれていました。

広告によって与えられた正当性の印象にもかかわらず、リダイレクト先の Web サイトは実際には、正規のアプリケーションを提供する代わりに、 GoziRedLineVidarCobalt Strike 、SectoRAT、 Royal ランサムウェアなどのマルウェアを広めるように設計されています。

LOBSHOT マルウェアは暗号通貨の拡張機能とウォレットを標的にしています

LOBSHOT が Microsoft Defender の存在の兆候を検出しない場合、脅威のプログラミングを続行します。この脅威は、レジストリ エントリを自動的に構成して、Windows が起動するたびに確実に起動するようにします。次に LOBSHOT は、感染したデバイスから、実行中のすべてのプロセスを含むシステム情報を収集して送信を開始します。さらに、このマルウェアは、32 の Chrome 暗号通貨ウォレット拡張機能、9 つの Edge ウォレット拡張機能、および 11 の Firefox ウォレット拡張機能の存在を探します。

これらの拡張子を検出すると、マルウェアは C:\ProgramData フォルダー内のファイルを実行します。ただし、研究者は、ファイルの目的が拡張データを抽出することなのか、それとも他の有害なアクションを抽出することなのかについて確信を持っていません。

暗号通貨の拡張機能を収集することは、マルウェアの共通の目標ですが、LOBSHOT マルウェアには、その構造に組み込まれた hVNC モジュールもあります。このモジュールにより、攻撃者は感染したデバイスにリモートで慎重にアクセスできます。

LOBSHOT マルウェアは、侵害されたデバイスへのリモート アクセスを提供します

hVNC (隠れた仮想ネットワーク コンピューティング) モジュールによって、被害者の知らないうちに Windows デスクトップ コンピューターをリモートで制御することが可能になります。

LOBSHOT として知られるマルウェアには、hVNC モジュールが含まれています。これにより、攻撃者は、キーボードとマウスを使用して、隠れたデスクトップを物理的に目の前にいるかのように操作できます。

モジュールがアクティブになると、被害者のマシンは、隠しデスクトップのスクリーン キャプチャを、攻撃者が制御するリッスン クライアントに送信し始めます。攻撃者は、キーボードの操作、ボタンのクリック、マウスの移動によってクライアントと対話し、デバイスを完全にリモート コントロールできます。

hVNC によって付与されたフル アクセスにより、攻撃者は、コマンドの実行、データの盗用、追加のマルウェア ペイロードの展開など、さまざまな活動を実行できます。

関連記事

LOBSHOT マルウェアがマルバタイジング調査で発見スクリーンショット

LOBSHOT マルウェアがマルバタイジング調査で発見

Computer Security
Elastic Security Labs の研究者は最近、マルバタイジング キャンペーンの増加に関する徹底的な調査中に、 LOBSHOTと呼ばれる新しいマルウェアを発見しました。 LOBSHOT は、感染したデバイスへの隠れた VNC (仮想ネットワーク コンピューティング) アクセスを脅威アクターに許可するため、特に興味深いものです。研究者らはまた、このマルウェアと、さまざまなランサムウ...

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...