Вредонос распространяется через Google Ads и маскируется под популярные приложения.
Эксперты Bleeping Computer сообщили, что троян выдает себя за рекламу CCleaner, Tradingview, VLS, Notepad и прочие. Подобным образом распространяются многие вредоносы, в числе которых RedLine, Gozi и SectoRAT.
Исследователи Elastic Security отметили, что чаще всего LobShot скачивается жертвами под видом популярного в корпоративной среде софта AnyDesk, предназначенного на предоставление удаленного доступа к устройствам.
Привлеченная рекламой жертва перенаправляется на мошеннический сайт, получает вредоносный файл MSI, загружающий DLL с домена, который ранее принадлежал хакерской группировке TA505.
На данный момент владелец домена неизвестен. Многие исследователи, например, Томми Маджар из Proofpoint, уверены, что TA505 давно продали доменное имя.
Вирус, сохраняющийся в системных папках, способен самостоятельно деактивировать Microsoft Defender, затрудняя свое обнаружение, передать данные с зараженного устройства, получать информацию о кошельках Chrome, Edge и Firefox. Также LobShot предоставляет хакерам возможность беспрепятственного удалённого управления зараженным устройством без ведома его владельца.
Известно, что полный доступ к устройству, полученный путём активации hVNС, позволяет хакерам устанавливать другие вредоносные программы.
Мы наблюдали более 500 уникальных образцов LobShot. Образцы были скомпилированы в виде 32-разрядных библиотек DLL или 32-разрядных исполняемых файлов, размер которых обычно составляет от 93 до 124 Кб.