Malware LOBSHOT kontrolliert Windows-Geräte

Mittels Google Ads erhöhen Angreifer Ihre Reichweite, indem sie sich als legitime Software ausgeben, und Nutzer so zur Installation verleiten. Prominente Opfer sind neben AnyDesk anderem 7-ZIP, VLC, OBS, Notepad ++ , CCleaner und Rufus.

---

Seit Anfang des Jahres hat Elastic Security Labs eine starke Zunahme von Malvertising festgestellt. Dabei bewerben die Angreifer ihre Malware mit einem ausgeklügelten Schema aus gefälschten Websites über Google-Anzeigen und der Einbettung von Hintertüren in scheinbar legitime Installationsprogramme für die Benutzer.

Laut der Analyse von Elastic Security Labs scheint der Ursprung eine Infrastruktur zu sein, die zu TA505 gehört.  Die Cybercrime-Gruppe TA505 wurde bereits in der Vergangenheit mit den Dridex-, Locky- und Necurs-Kampagnen in Verbindung gebracht.

Seit Beginn des Jahres konnten Infektionsketten beobachtet werden, bei denen Nutzer auf der Suche nach legitimen Software-Downloads über Google-Anzeigen auf illegale Software stießen deren Installation zur Ausführung einer unbekannten hVNC-Malware (hidden VNC) führten, die Elastic Security Labs als LOBSHOT bezeichnet.

Prominentes Beispiel war die bösartige Anzeige für eine legitime Remote-Desktop-Lösung, AnyDesk, die auf eine abweichende URL führte, die nicht zum Hersteller gehört. Auf der sehr überzeugend gemachten Webseite wurden den Besuchern vorgetäuscht, dass es sich bei der herunterladbaren MSI-Installationsdatei um die populäre RDP-Software AnyDesk handelt. Einmal installiert erlaubt die Schadsoftware, infizierte Rechner unbermerkt über Maus und Tastatur fern zu steuern.

Weitere Details finden Sie auf der Webseite von Elastic Security Labs >>hier<<

---