A comienzos del año 2023, se observó un notable aumento en los ataques cibernéticos que utilizan anuncios de Google como medio de distribución. En particular, se detectó que a través de este canal se estaba distribuyendo un nuevo tipo de malware llamado LOBSHOT.
Este troyano tiene la capacidad de tomar el control sigiloso de los dispositivos que ejecutan el sistema operativo Windows, lo que le permite a los atacantes realizar una amplia gama de acciones maliciosas, como el cifrado de archivos, la extorsión de datos, el espionaje y otros tipos de ataques.
¿Cómo LOBSHOT toma el control de los dispositivos Windows?
El actor de amenaza asociado a LOBSHOT distribuye el malware a través de publicidad maliciosa, abusando de Google Ads y una red de sitios web falsos para engañar a los usuarios e instarlos a descargar instaladores de aspecto legítimo que contienen puertas traseras encargadas de la instalación en segundo plano del elemento malicioso.
LOBSHOT utiliza la resolución de importación dinámica para evitar la detección. En otras palabras, un método que permite que los nombres de las API de Windows requeridas se resuelvan en tiempo de ejecución, una fachada que dificulta su detección por parte de los sistemas de seguridad tradicionales.
Una vez que LOBSHOT se ejecuta en el sistema, realiza una comprobación antiemulación de Windows Defender. Si se detecta la presencia de la solución antimalware, LOBSHOT sale de su proceso para evitar ser detectado. Este enfoque sofisticado hace que LOBSHOT sea especialmente peligroso, ya que puede evitar las medidas de seguridad tradicionales y causar graves daños en el dispositivo infectado.
El malware utiliza técnicas de evasión de detección y se adapta a la máquina infectada antes de conectarse a la red y robar información de más de 50 extensiones de Chrome, Edge y Firefox relacionadas con las carteras de criptomonedas.
Su módulo VNC, que se implementa generando un escritorio oculto, le permite al atacante tomar el control remoto completo del dispositivo, permitiéndole realizar diversas acciones, como iniciar una ventana de comandos de ejecución, iniciar un nuevo proceso de Windows con un comando proporcionado, iniciar navegadores, modificar la configuración de sonido, acceder al portapapeles, activar el menú de inicio e interactuar con el teclado y el ratón. El malware también puede cambiar su servidor de comando y control y actualizarse a sí mismo.
¿Quién es responsable del desarrollo y distribución de LOBSHOT?
Hasta la fecha, no se ha identificado al actor de amenaza responsable de la propagación del malware LOBSHOT. Sin embargo, según expertos en ciberseguridad, se sospecha que el grupo de ciberdelincuentes detrás de este troyano es de habla rusa y se dedica a actividades criminales en línea desde hace varios años, estas sospechas se fundan en pistas como el uso de direcciones de correo electrónico y dominios registrados en Rusia y Ucrania.
Uso de anuncios de Google
Los anuncios utilizados para la distribución de este malware promovían un software de gestión remota AnyDesk en el sitio web de amydeecke[.]com. Este sitio envía un archivo MSI malicioso que ejecuta un comando de PowerShell para descargar una DLL de download-cdn[.]com, un dominio asociado con una pandilla de ransomware.
Este es solo un ejemplo del uso de anuncios de Google como método de distribución. Investigaciones informaron que en enero de 2023 existían anuncios maliciosas en los resultados de búsquedas para los siguientes software: 7-Zip, Blender 3D, Capcut, Limpiador, Bloc de notas++, OBS, Rufus, Caja virtual, Reproductor multimedia VLC, WinRAR, Putty, entre otros.
¿Cómo evitar la infección por el malware LOBSHOT?
Los expertos en ciberseguridad advierten que la amenaza de malware, como LOBSHOT, es una preocupación importante para las organizaciones. Para protegerse contra este y otros tipos de amenaza es necesario abordar una gestión de ciberdefensa integral que permita elevar la seguridad de la organización desde todas sus aristas.
También es primordial contar con un programa de concientización y capacitación para colaboradores que permita mantenernos alerta frente a este tipo de engaños.
A continuación compartimos los indicadores de compromiso asociados:
| indicador | tipo | Referencia |
|---|---|---|
| 95.217.125.200 | Dirección IP | LOBSHOT C2 |
| e4ea88887753a936eaf3361dcc00380b88b0c210dcbde24f8f7ce27991856bf6 | SHA-256 | LOBSHOT |
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a fallas de día cero:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, de forma de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Fuentes
https://www.securityweek.com/new-lobshot-hvnc-malware-used-by-russian-cybercriminals/
https://www.elastic.co/es/security-labs/elastic-security-labs-discovers-lobshot-malware
https://sensorstechforum.com/es/lobshot-malware-infostealer/
http://www.combo-fix.com/threat-database/es/amenaza-lobshot/