Lobshot – neue Malware verbreitet sich über Werbeanzeigen

Das Verstecken von Malware durch Cyberkriminelle hinter seriös wirkender Werbung ist nichts Neues. Über Malwaretising, bei dem Schadsoftware über Werbung verbreitet wird, wurde in den vergangenen Monaten bereits mehrfach berichtet. Nun wurde ein neuer Remote-Access-Trojaner namens Lobshot über Google Ads verbreitet, wie Forscher der Elastic Security Labs herausgefunden haben. Alles Wissenswerte über die neue Malware erfahren Sie in diesem Blogbeitrag.

Die Strategie der Lobshot-Angreifer

Bei den Angriffen nutzten die Cyberkriminellen eine gefälschte Google-Anzeige, um für die legitime Remote-Management-Software AnyDesk zu werben. Allerdings führte die URL der Anzeige nicht zu der offiziellen Homepage, sondern zu einer gefährlichen Internetseite, deren URL dem Original ziemlich ähnlich war. Die Zielseiten waren überaus überzeugend gestaltet und wiesen eine ähnliche Branding-Strategie wie die legale Software auf. Auf diesen Seiten befanden sich Schaltflächen, die zum Herunterladen eines MSI-Installationsprogramms führten.

Allerdings handelte es sich bei der dort zur Verfügung stehenden MSI-Datei lediglich um einen Loader. Wenn der Benutzer diesen ausführte, lud ein darin enthaltenes PowerShell-Skript die eigentliche Lobshot-Malware als DLL-Datei herunter. Der Loader speicherte diese dann im Verzeichnis “C:\ProgramData”. Dort befinden sich auf Windows-Systemen in der Regel auch viele andere Anwendungsdaten.

Die Funktionsweise der Lobshot-Malware

Nach Einschätzung von Sicherheitsexperten hat der Einsatz von Lobshot finanzielle Ziele. Das Schadprogramm besteht aus zwei Komponenten. Auf der einen Seite ähnelt die Schadsoftware einem Banking-Trojaner, mit dem Informationen gestohlen werden können. Auf der anderen Seite verfügt die Malware über eine hVNC-Komponente (Hidden Virtual Network Computing), die es dem Angreifer ermöglicht, heimlich die Kontrolle über den Computer des Opfers zu übernehmen. Diese Methode, die häufig als Plugin in viele beliebte Malware-Familien integriert ist, ist nach wie vor erfolgreich, um Betrugserkennungssysteme zu umgehen.

Nach der Ausführung überprüft die Lobshot-Malware, ob auf dem Opfergerät Microsoft Defender installiert ist. Ist dies der Fall, wird die Malware zur Vermeidung einer Erkennung sofort beendet. Wenn der Defender jedoch nicht verwendet wird, konfiguriert die Malware Registry-Einträge so, dass sie automatisch gestartet wird, sobald der Benutzer sich bei Windows anmeldet. In einem nächsten Schritt überträgt die Schadsoftware dann Systeminformationen des infizierten Geräts, einschließlich der laufenden Prozesse.

Nach Angaben der Spezialisten von Elastic Security ermöglicht es das hVNC-Modul von Lobshot dem Angreifer, den infizierten Desktop mit seiner Maus und seiner Tastatur zu steuern. In dieser Phase beginnt der Computer des Opfers, Screenshots des versteckten Desktops an einen vom Cyberkriminellen kontrollierten Client zu senden. Der Angreifer bewegt die Maus, steuert die Tastatur und klickt auf Schaltflächen, um mit dem Client zu interagieren. Diese Features ermöglichen es dem Angreifer, die vollständige Kontrolle über das Gerät zu erlangen.

Wer vermutlich hinter der neuen Malware steckt

Es wird vermutet, dass die Gruppe TA50 hinter der Malware steckt. Dabei handelt es sich um eine bekannte Gruppe von Cyberkriminellen, die mit den Kampagnen Dridex, Locky und Necurs in Verbindung gebracht wird. Mit denselben Domains wurde in der Vergangenheit auch ein von Proofpoint dokumentierter Loader namens Get2 in Verbindung gebracht. TA505 verwendet Lobshot seit mindestens 2022 für Angriffe, so die Elastic Security Labs.

Wenn Sie sich vor der neusten Schadsoftware schützen möchten, sollten Sie über den Einsatz einer effizienten Antivirensoftware nachdenken. Besonders beliebt sind ESET Internet Security 2023 und Trend Micro Maximum Security 2023. Bei Softwarekaufen24 können Sie diese und viele andere Antivirenprogramme zu einem herausragenden Preis-Leistungs-Verhältnis kaufen.