Os anúncios do Google têm sido uma fonte inesgotável de ameaças digitais. Conforme já comentamos algumas vezes aqui no Blog, diversos hackers têm utilizado a ferramenta para criar propagandas falsas e espalhar malware por meios legítimos no buscador, em uma técnica denominada malvertising. A mais recente foi descoberta este ano e é um trojan chamado LobShot.
De acordo com o site Bleeping Computer, o trojan permite que os agentes de ameaças assumam furtivamente dispositivos Windows infectados usando hidden virtual network computing (hVNC). O hVNC é um software legítimo para controle remoto de dispositivos. Entretanto, ele também é usado de forma indevida por cibercriminosos para controlar remotamente um computador alvo, sem que o usuário perceba.
O hVNC é frequentemente usado por hackers para roubar informações pessoais como senhas bancárias, dados de cartão de crédito, entre outros. Ele também pode ser usado para instalar outros tipos de malware no computador do usuário, como spyware, keyloggers e ransomware.
De acordo com as informações fornecidas pelo Elastic Security Lab, o LobShot é um malware de backdoor que permite que invasores controlem remotamente um sistema comprometido, executem comandos e coletem informações sigilosas. Os hackers promoveram o malware usando um esquema de sites falsos por meio do Google Ads, fingindo se passar por arquivos .zip e outros softwares genuínos.
Ao instalar as aplicações, o LobShot teve acesso às máquinas e acionou o sistema hVNC. A partir disso, o malware foi capaz também de se comunicar com um servidor remoto para enviar informações coletadas do sistema comprometido e receber novos comandos de forma silenciosa, dificultando sua percepção.
O malware é capaz de persistir no sistema comprometido após a reinicialização e pode desativar soluções de segurança instaladas. Ele também pode se espalhar para outros sistemas conectados na mesma rede, e utiliza técnicas de ofuscação e criptografia para evitar a detecção por soluções de segurança.
Uma das técnicas empregadas pelo LobShot para evitar os softwares de segurança é a resolução de importação dinâmica. Em vez de importar funções de bibliotecas do Windows, o malware procura e utiliza as funções que precisa em tempo de execução, ou seja, apenas quando necessário.
Essa técnica torna mais difícil para os produtos de segurança detectarem a ameaça, pois eles não podem simplesmente procurar as funções específicas que estão sendo utilizadas. Em vez disso, os antivírus precisam analisar o código do malware em tempo real, o que pode ser um processo mais demorado e complexo.
Ainda de acordo com o relatório, depois que o LobShot é executado, ele move uma cópia de si mesmo para a pasta “C:\ProgramData”, que é um diretório padrão do Windows onde as aplicações podem armazenar arquivos comuns a todos os usuários do sistema. Em seguida, o malware gera um novo processo usando o explorer.exe, que é um processo padrão do Windows que gerencia a interface gráfica do usuário (GUI na sigla em inglês).
Após gerar o novo processo, o malware finaliza o processo original, deixando apenas o novo em execução. Por fim, o malware exclui o arquivo original que foi movido para a pasta “C:\ProgramData”.
Essa técnica é usada pelo malware para tentar ocultar sua presença no sistema e dificultar sua identificação pelos analistas de segurança. Ao gerar um novo processo usando o explorer.exe e finalizar o processo original, o malware quebra a “ancestralidade da árvore de processo”, que é a relação entre os processos pai e filho. Isso torna mais difícil para os analistas identificarem a origem e encontrar a raiz do LobShot no sistema.
Na sua forma de ação já dentro da máquina, a ameaça implementa o recurso hVNC gerando uma área de trabalho oculta usando a API CreateDesktopW do Windows e, em seguida, atribuindo a área de trabalho ao malware usando a API SetThreadDesktop. Um novo processo explorer.exe do Windows é criado no contexto da nova área de trabalho oculta.
Nessa etapa ele passará a encaminhar capturas de tela para os hackers, distribuindo as informações encontradas na máquina. O malware também verificará 32 extensões de carteira de criptomoeda do Chrome, nove extensões de carteira do Edge e 11 extensões de carteira do Firefox.
Como se proteger do LobShot
Como sempre falamos, a melhor forma de proteção é a prevenção. Evite baixar softwares de sites duvidosos e, caso clique em algum anúncio, verifique bem a URL antes de executar qualquer comando. Opte por fazer a busca manual do software que você quer baixar, evitando acessar conteúdos patrocinados e relacionados.
Não abra e-mails de remetentes desconhecidos, não baixe PDFs ou outros arquivos duvidosos e mantenha os softwares do seu computador e celular sempre atualizados, evitando brechas de segurança.
Para as empresas, opte por uma equipe de segurança que possa mantê-lo protegido no ambiente digital. Conheça o trabalho da VNX Partners e fale com um de nossos especialistas.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Notificações push: apps utilizam recurso para coletar dados no iOS indevidamente
As notificações push podem ser usadas para coletar dados no iOS? De acordo com um
4 ameaças digitais que você precisa estar atento em 2024
Todos os dias passamos por situações que nos colocam na mira de possíveis ameaças digitais.
Trends das redes sociais: os perigos de compartilhar seus dados
Todos os meses pelo menos um novo formato viral toma conta do seu feed, principalmente
Sequestro de dados: epidemia digital com consequências prolongadas
Desde 2020, os ataques hackers que sequestram dados de empresas se tornaram uma verdadeira epidemia.
Ransomware: 45% das empresas de saúde já foram vítimas de ataque
Em um novo estudo global divulgado pela empresa Arcserve, foi revelado um percentual alarmante de
PNCiber: Política de cibersegurança é criada pelo Governo Federal
No dia 27 de dezembro de 2023 foi aprovada pelo Governo Federal a Política Nacional