Хакеры запустили новый троян LobShot

Эксперты Bleeping Computer сообщили, что троян выдает себя за рекламу CCleaner, Tradingview, VLS, Notepad и прочие. Подобным образом распространяются многие вредоносы, в числе которых RedLine, Gozi и SectoRAT.

Исследователи Elastic Security отметили, что чаще всего LobShot скачивается жертвами под видом популярного в корпоративной среде софта AnyDesk, предназначенного на предоставление удаленного доступа к устройствам.

Привлеченная рекламой жертва перенаправляется на мошеннический сайт, получает вредоносный файл MSI, загружающий DLL с домена, который ранее принадлежал хакерской группировке TA505.

На данный момент владелец домена неизвестен. Многие исследователи, например, Томми Маджар из Proofpoint, уверены, что TA505 давно продали доменное имя.

Вирус, сохраняющийся в системных папках, способен самостоятельно деактивировать Microsoft Defender, затрудняя свое обнаружение, передать данные с зараженного устройства, получать информацию о кошельках Chrome, Edge и Firefox. Также LobShot предоставляет хакерам возможность беспрепятственного удалённого управления зараженным устройством без ведома его владельца.

Известно, что полный доступ к устройству, полученный путём активации hVNС, позволяет хакерам устанавливать другие вредоносные программы.

Мы наблюдали более 500 уникальных образцов LobShot. Образцы были скомпилированы в виде 32-разрядных библиотек DLL или 32-разрядных исполняемых файлов, размер которых обычно составляет от 93 до 124 Кб.

Из отчёта Elastic Security