Il nuovo malware chiamato LOBSHOT, distribuito attraverso Google Ads, consente agli aggressori di prendere il controllo in modo stealth dei dispositivi Windows infetti utilizzando hVNC.
Distribuzione del malware tramite Google Ads
Ricerche di BleepingComputer e altri esperti di cybersecurity hanno riscontrato un aumento significativo nell’utilizzo di Google Ads da parte di attori minacciosi per distribuire malware nei risultati di ricerca. I recenti annunci pubblicitari promuovono software legittimi come AnyDesk, ma portano gli utenti a siti web fasulli che diffondono il malware LOBSHOT.
Funzionamento del malware LOBSHOT
Una volta scaricato ed eseguito, il malware controlla se Microsoft Defender è in esecuzione e, in caso positivo, termina la propria esecuzione per evitare il rilevamento. Se Defender non viene rilevato, il malware configura voci di registro per avviarsi automaticamente all’accesso a Windows e trasmette informazioni di sistema dal dispositivo infetto, inclusi i processi in esecuzione.
Controllo stealth dei dispositivi infetti
LOBSHOT include un modulo hVNC, che consente agli aggressori di accedere in modo silenzioso a un dispositivo infetto in remoto. hVNC è un software di accesso remoto VNC modificato per controllare un desktop nascosto sul dispositivo infetto invece del desktop principale utilizzato dal proprietario del dispositivo. Questo permette agli attori minacciosi di controllare un computer desktop Windows senza che la vittima se ne accorga.