最近发现的一个后门和凭据窃取者正在冒充合法软件下载，作为引诱企业员工下载恶意软件的复杂行动的一部分。Elastic Software的研究人员在最近的一篇博文中披露，他们观察到了名为LOBSHOT的恶意软件，该软件通过针对AnyDesk等受欢迎远程工作应用程序的恶意Google广告传播。“攻击者通过一个精心设计的虚假网站通过Google广告宣传他们的恶意软件，并将后门嵌入到对用户来说看起来是合法安装程序的文件中，”Elastic Software的Daniel Stepanic在文章中写道。

此外，众所周知传播Clop勒索软件的威胁组织TA505似乎是LOBSHOT背后的幕后黑手，LOBSHOT是一个后门，具有财务动机，从受害者那里窃取银行、加密货币和其他凭证和数据，研究人员表示。用于传播LOBSHOT的虚假下载网站执行了来自download-cdn[.]com的DLL，这是一个与该威胁组织有关的历史性域名，该威胁组织还因Dridex、Locky和Necurs活动而闻名。根据与TA505相关的其他基础设施，这些基础设施与该活动有关，研究人员“有中等信心评估”LOBSHOT是该组织利用的一种新的恶意软件功能，Stepanic写道。此外，研究人员每周都会看到与此系列相关的新样本，并且“预计它将持续存在一段时间”，他写道。

利用恶意Google广告
与今年早些时候观察到的类似威胁活动一样，潜在受害者通过点击谷歌广告暴露于LOBSHOT之中，这些广告声称是合法的工作软件，例如AnyDesk。这种策略类似于今年早些时候观察到的活动，潜在受害者通过点击谷歌广告来暴露于LOBSHOT之中，这些广告声称是针对合法工作软件（如AnyDesk）的广告。这与今年早些时候观察到的一种威胁活动相似，该活动通过从谷歌广告引导用户到伪装成受欢迎远程工作软件（如AnyDesk和Zoom）的下载站点来传播恶意软件服务Rhadamanthys Stealer。

的确，这些活动与Elastic Search所观察到的自今年早些时候以来的恶意广告趋势相关，该趋势导致“恶意广告的大幅增加”，根据Elastic Software的说法。Stepanic表示：“安全研究人员自今年年初以来一直观察到类似的感染链，这些感染链的共同之处是用户正在搜索合法软件下载，但最终从谷歌的广告推广中获得了非法软件。”这种行为反映了攻击者在滥用和扩大他们的影响力方面的持续趋势，“通过恶意广告，如谷歌广告，冒充合法软件”，他说。Stepanic承认这类恶意软件可能看起来不起眼，并且影响范围有限，但它们通过“完全交互的远程控制功能”对威胁行为者提供帮助，帮助他们获取对企业网络的初始访问权限并进行其他恶意活动。

LOBSHOT感染链
LOBSHOT感染链的开始是某人在互联网上搜索某种合法软件，谷歌广告会提供一个推广结果，但实际上是一个恶意网站。Stepanic解释道：“在一个观察到的案例中，恶意广告是一个合法的远程桌面解决方案AnyDesk的广告。仔细检查URL，它指向https://www.amydecke[.]website，而不是合法的AnyDesk URL，https://www.anydesk[.]com。”点击该广告会将用户带到一个看起来合法的着陆页，上面有用户正在寻找的软件的下载链接。然而，这实际上是一个MSI安装程序，一旦下载，就会在用户的计算机上执行，研究人员说。Stepanic写道：“着陆页非常令人信服，与合法软件具有类似的品牌，并包含指向MSI安装程序的“立即下载”按钮。”然后，MSI启动一个PowerShell，通过rundll32下载LOBSHOT，开始与攻击者拥有的命令和控制服务器进行通信，根据Elastic Software的说法。

逃避和缓解
LOBSHOT的核心功能之一是其hVNC（Hidden Virtual Network Computing）组件，这是一个模块，允许攻击者直接且不被察觉地访问机器，Stepanic指出。他写道：“这个功能在规避欺诈检测系统方面继续取得成功，并经常作为插件集成到许多流行的恶意软件系列中。”与当前使用的大多数恶意软件一样，LOBSHOT还使用动态导入解析来规避安全产品，减缓对其功能的快速识别，研究人员表示。Stepanic写道：“这个过程涉及在运行时解析恶意软件所需的Windows API的名称，而不是预先将导入项放入程序中。”研究人员提供了指向Elastic Search GitHub页面的链接，这些页面展示了与各种LOBSHOT相关的进程有关的预防策略，包括可疑的Windows资源管理器执行、可疑的父子关系和Windows.Trojan.Lobshot。

该帖子还包括组织可以使用的方向，用于创建EQL查询，以搜索与研究人员观察到的LOBSHOT执行相关的类似可疑行为的祖父、父母和子关系。