En otro ejemplo de cómo los actores de amenazas están abusando de Google Ads para entregar malware, se ha observado que un actor de amenazas aprovecha la técnica para entregar un nuevo troyano financiero y ladrón de información basado en Windows llamado LOBSHOT .
«LOBSHOT continúa recolectando víctimas mientras permanece bajo el radar», dijo el investigador de Elastic Security Labs, Daniel Stepanic, en un análisis publicado la semana pasada.
«Una de las capacidades principales de LOBSHOT es su componente hVNC (cómputo de red virtual oculta). Este tipo de módulos permiten el acceso directo y no observado a la máquina».
La compañía estadounidense-holandesa atribuyó la cepa de malware a un actor de amenazas conocido como TA505 basado en la infraestructura históricamente conectada al grupo. TA505 es un sindicato del crimen electrónico motivado financieramente que se superpone con grupos de actividad rastreados bajo los nombres Evil Corp, FIN11 e Indrik Spider.
El último desarrollo es significativo porque es una señal de que TA505, que está asociado con el troyano bancario Dridex , está ampliando una vez más su arsenal de malware para perpetrar el robo de datos y el fraude financiero.
LOBSHOT, con muestras tempranas que datan de julio de 2022, se distribuye a través de anuncios falsos de Google para herramientas legítimas como AnyDesk que se alojan en una red de páginas de destino similares mantenida por los operadores.
El malware incorpora resolución de importación dinámica (es decir, resolución de los nombres de las API de Windows necesarias en tiempo de ejecución), comprobaciones antiemulación y ofuscación de cadenas para evadir la detección por parte del software de seguridad.
Una vez instalado, realiza cambios en el Registro de Windows para configurar la persistencia y extrae datos de más de 50 extensiones de billetera de criptomonedas presentes en navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox.
Las otras características notables de LOBSHOT giran en torno a su capacidad para acceder de forma remota al host comprometido a través de un módulo hVNC y realizar acciones sigilosamente sin llamar la atención de la víctima.
«Los grupos de amenazas continúan aprovechando las técnicas de publicidad maliciosa para enmascarar software legítimo con puertas traseras como LOBSHOT», dijo Stepanic.
«Este tipo de malware parece pequeño, pero termina con una funcionalidad significativa que ayuda a los actores de amenazas a moverse rápidamente durante las etapas iniciales de acceso con capacidades de control remoto totalmente interactivas».
Los hallazgos también subrayan cómo un número cada vez mayor de adversarios están adoptando el envenenamiento por publicidad maliciosa y optimización de motores de búsqueda (SEO) como una técnica para redirigir a los usuarios a sitios web falsos y descargar instaladores troyanos de software popular.
Según datos de eSentire , los actores de amenazas detrás de GootLoader se han relacionado con una serie de ataques dirigidos a bufetes de abogados y departamentos legales corporativos en los EE. UU., Canadá, el Reino Unido y Australia.
GootLoader, activo desde 2018 y que funciona como una operación inicial de acceso como servicio para ataques de ransomware, emplea el envenenamiento de SEO para atraer a las víctimas que buscan acuerdos y contratos a blogs de WordPress infectados que apuntan a enlaces que contienen el malware.
Además de implementar geofencing para atacar a las víctimas en regiones seleccionadas, la cadena de ataque está diseñada de tal manera que el malware solo se puede descargar una vez al día desde los sitios secuestrados para eludir el descubrimiento por parte de los respondedores de incidentes.
El uso de GootLoader del método de la dirección IP para filtrar a las víctimas ya pirateadas, descubrió eSentire, podría usarse en su contra para bloquear de manera preventiva las direcciones IP de los usuarios finales y evitar que las organizaciones sufran posibles infecciones.
Fuente y redacción: thehackernews.com
