LOBSHOT แพร่กระจายโดยใช้ โฆษณา Google
LOBSHOT แพร่กระจายโดยใช้ โฆษณา Google ทำให้ผู้ไม่ประสงค์ดีสามารถแอบควบคุมอุปกรณ์ Windows ที่ติดไวรัสโดยใช้ hVNC
นักวิจัยรายงานว่ามี Trojan ที่เข้าถึงจากระยะไกลแพร่กระจายผ่านโฆษณา Google โดยโฆษณาเหล่านี้เลียนแบบเว็บไซต์ 7-ZIP, VLC, OBS, Notepad++, CCleaner, Trading View, Rufus และอื่นๆ อีกมากมาย เว็บไซต์เหล่านี้ จะมีไฟล์ MSI ที่เป็นอันตราย ซึ่งจะเรียกใช้คำสั่ง Powershell เพื่อดาวน์โหลด DLL จาก download-cdn[.]com ไฟล์ที่ดาวน์โหลดจะถูกบันทึกในโฟลเดอร์ C:\ProgramData จากนั้นจะเรียกใช้โดย RunDLL32.exe โดยทั่วไปมีขนาดประมาณ 93KB ถึง 124 KB
เมื่อดำเนินการแล้ว มัลแวร์จะตรวจสอบว่า Microsoft Defender กำลังทำงานอยู่หรือไม่ หากตรวจพบ มัลแวร์จะยุติการดำเนินการเพื่อป้องกันการตรวจจับ
อย่างไรก็ตาม หากตรวจไม่พบ Defender มัลแวร์จะกำหนดค่ารายการ Registry ให้เริ่มทำงานโดยอัตโนมัติเมื่อเข้าสู่ระบบ Windows จากนั้นจึงส่งข้อมูลระบบจากอุปกรณ์ที่ติดไวรัส รวมถึงกระบวนการที่กำลังทำงานอยู่
hVNC หรือ hidden virtual network computing เป็นซอฟต์แวร์ VNC การเข้าถึงระยะไกล ที่ถูกปรับแต่งเพื่อควบคุมเดสก์ท็อปที่ซ่อนอยู่บนอุปกรณ์ที่ติดไวรัส จากนั้นเครื่องของเหยื่อจะเริ่มส่งภาพหน้าจอที่ซ่อนอยู่บนเดสก์ท็อปไปยังไคลเอ็นต์ที่ถูกควบคุมโดยผู้โจมตี
ผู้โจมตีโต้ตอบกับไคลเอนต์โดยการควบคุมแป้นพิมพ์ การคลิกปุ่ม และการเลื่อนเมาส์ ความสามารถเหล่านี้ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์จากระยะไกลได้อย่างสมบูรณ์
คำแนะนำ
- หลีกเลี่ยง Banner และลิงค์ที่น่าสงสัย
- หลีกเลี่ยงโปรแกรมละเมิดลิขสิทธิ์
- ติดตั้งโปรแกรม Antivirus
- อัปเดตระบบปฏิบัติการและซอตฟ์แวร์เสมอ
Ref : https://www.bleepingcomputer.com/news/security/new-lobshot-malware-gives-hackers-hidden-vnc-access-to-windows-devices/