New LOBSHOT malware gives hackers hidden VNC access to Windows devices
มัลแวร์ LOBSHOT ตัวใหม่ช่วยให้แฮกเกอร์เข้าถึง VNC ที่ซ่อนอยู่ในอุปกรณ์ Windows ได้ โดยมัลแวร์ LOBSHOT เผยแพร่โดยใช้โฆษณาของ Google ทำให้ผู้โจมตีสามารถแอบเข้าควบคุมอุปกรณ์ Windows ที่ติดไวรัสโดยใช้ hVNC เมื่อต้นปีที่ผ่านมา BleepingComputer และนักวิจัยด้านความปลอดภัยในโลกไซเบอร์จำนวนมากรายงานว่ามีผู้โจมตีเพิ่มขึ้นอย่างมากโดยใช้โฆษณา Google เพื่อใช้แพร่กระจายมัลแวร์ในผลการค้นหา แคมเปญโฆษณาเหล่านี้จะเลียนแบบเว็บไซต์ 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus และแอปพลิเคชันอื่นๆอีกมากมาย เพื่อใช้แพร่กระจายมัลแวร์ซึ่งรวมถึง Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT และ Royal Ransomware ในรายงานฉบับใหม่ของ Elastic Security Labs นักวิจัยเปิดเผยว่า remote access trojan ตัวใหม่ชื่อ LOBSHOT ถูกเผยแพร่ผ่าน Google Ads ซึ่งโฆษณาเหล่านี้จะปลอมเป็นซอฟต์แวร์การจัดการระยะไกล AnyDesk ที่ถูกต้อง แต่นำไปสู่ไซต์ AnyDesk ปลอมที่เว็บไซต์ amydeecke[.]
เว็บไซต์นี้จะส่งไฟล์ MSI ที่เป็นอันตรายซึ่งเรียกใช้คำสั่ง PowerShell เพื่อดาวน์โหลด DLL จาก download-cdn[.]com ซึ่งเป็นโดเมนที่เกี่ยวข้องกับแก๊งแรนซัมแวร์ TA505/Clop ในอดีต ซึ่งไฟล์ DLL ที่ดาวน์โหลดมาคือมัลแวร์ LOBSHOT และจะถูกบันทึกในโฟลเดอร์ C:ProgramData จากนั้นเรียกใช้โดย RunDLL32.exe หลังจากนั้นมัลแวร์จะตรวจสอบว่า Microsoft Defender กำลังทำงานอยู่หรือไม่ และหากพบว่ายังทำงานอยู่ จะทำการสั่งให้ยุติการป้องกันและการตรวจจับ หากตรวจไม่พบว่า Microsoft Defender กำลังทำงานอยู่ มัลแวร์จะกำหนดค่ารายการรีจิสทรีให้เริ่มทำงานโดยอัตโนมัติเมื่อเข้าสู่ระบบ Windows จากนั้นจึงส่งข้อมูลระบบจากอุปกรณ์ที่ติดไวรัส รวมถึงกระบวนการที่กำลังทำงานอยู่ นอกจากนี้มัลแวร์ LOBSHOT จะตรวจสอบ cryptocurrency wallet extensions ของ Chrome 32 รายการ, Edge 9 รายการ และ Firefox 11 รายการ ในขณะที่การขโมย cryptocurrency wallet นั้นเป็นเรื่องปกติ แต่ Elastic ยังพบว่ามัลแวร์ดังกล่าวมีโมดูล hVNC ทำให้ผู้คุกคามสามารถเข้าถึงอุปกรณ์ที่ติดไวรัสจากระยะไกลได้อย่างเงียบๆ โดย hVNC หรือคอมพิวเตอร์เครือข่ายเสมือนที่ซ่อนอยู่ เป็นซอฟต์แวร์การเข้าถึงระยะไกล VNC ที่ถูกแก้ไขเพื่อควบคุมเดสก์ท็อปที่ซ่อนอยู่บนอุปกรณ์ที่ติดไวรัส แทนที่จะเป็นเดสก์ท็อปหลักที่เจ้าของอุปกรณ์ใช้ สิ่งนี้ทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์เดสก์ท็อป Windows จากระยะไกลโดยที่เหยื่อไม่รู้ว่ากำลังเกิดขึ้น
Elastic กล่าวว่า LOBSHOT ได้ปรับใช้โมดูล hVNC ที่ช่วยให้ผู้โจมตีสามารถควบคุมเดสก์ท็อปที่ซ่อนอยู่โดยใช้เมาส์และแป้นพิมพ์ราวกับว่าพวกเขาอยู่ข้างหน้า โดยในขั้นตอนนี้เครื่องของเหยื่อจะเริ่มส่งภาพหน้าจอที่แสดงเดสก์ท็อปที่ซ่อนอยู่ไปยังไคลเอ็นต์ที่ถูกควบคุมโดยผู้โจมตี เมื่อใช้ hVNC ผู้โจมตีจะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ทำให้พวกเขาสามารถดำเนินการคำสั่ง ขโมยข้อมูล หรือแม้แต่ปรับใช้ payloads ของมัลแวร์เพิ่มเติมได้ เนื่องจากในปัจจุบันมีการใช้ AnyDesk กันทั่วไปในหลายธุรกิจ การโจมตีของมัลแวร์จึงมีแนวโน้มที่จะใช้สำหรับการเข้าถึงเครือข่ายองค์กรในเบื้องต้นและแพร่กระจายไปยังอุปกรณ์อื่นในแนวขวาง และการเข้าถึงประเภทนี้อาจนำไปสู่การโจมตีด้วยแรนซัมแวร์ การขโมยข้อมูล และการโจมตีอื่นๆได้
https://www.bleepingcomputer.com/news/security/new-lobshot-malware-gives-hackers-hidden-vnc-access-to-windows-devices/