Grâce à un module hVNC, les attaquants peuvent contrôler à distance un ordinateur Windows infecté par le malware Lobshot sans se faire remarquer.
Le nouveau malware Lobshot collecte non seulement des informations sur les portefeuilles cryptographiques sur les systèmes Windows, mais permet également à l’attaquant un accès à distance caché via hVNC. Le domaine visible dans les annonces Google associées montre déjà qu’il y a quelque chose de louche dans les sites Web utilisés pour la distribution.
Lobshot – le prochain malware à venir via Google Ads
Les cybercriminels utilisent de plus en plus les publicités Google pour diffuser leurs logiciels malveillants. Pour s’assurer que leurs victimes mordent, les acteurs malveillants aiment abuser des noms et des logos de produits logiciels populaires et librement disponibles tels que 7-Zip, CCleaner, VLC, OBS ou Notepad++.
Comme le rapporte BleepingComputer, un malware appelé «Lobshot” qui permet parfois aux attaquants d’accéder à distance via VNC aux appareils Windows infectés. Le nouveau cheval de Troie d’accès à distance (RAT) est déguisé en un outil de maintenance à distance AnyDesk apparemment inoffensif. Mais le logiciel n’a certainement rien à voir avec le golf.
Un regard sur le domaine révèle le malware frauduleux Lobshot
Déjà le domaine douteux”amydecke.website” indique qu’il y a quelque chose de louche dans l’application AnyDesk, qui peut généralement être téléchargée depuis anydesk.com.
(Source : Laboratoires de sécurité élastiques)
Cependant, le fichier MSI qui y est disponible ne contient qu’un chargeur. Après son exécution par l’utilisateur, un script PowerShell inclus charge le véritable malware Lobshot sous la forme d’un fichier DLL du domaine « download-cdn.com » bas. Le loader les enregistre alors dans le répertoire « C:ProgramData”. Il y a généralement aussi beaucoup d’autres données d’application sur les systèmes Windows.
Une fois que Lobshot est actif, le logiciel malveillant vérifie d’abord si Windows Defender est en cours d’exécution. Si tel est le cas, il se termine automatiquement afin de se cacher de l’outil de sécurité.
Sinon, le logiciel malveillant se niche dans le démarrage automatique du système d’exploitation. Cela lui permet de continuer son travail sans encombre après la prochaine connexion de l’utilisateur. Il transmet ensuite certaines informations système et une liste des extensions de navigateur installées des portefeuilles cryptographiques populaires à son créateur.
Le module hVNC permet un accès à distance caché
Mais ce n’est pas tout ce dont le malware Lobshot est capable. Selon les chercheurs en sécurité d’Elastic Security Labs, le malware dispose également d’un module hVNC (Hidden Virtual Network Computing).
Il s’agit d’une application VNC modifiée qui permet à l’attaquant de contrôler le système infecté via un bureau caché. Le bureau habituel de l’utilisateur reste totalement inchangé, ce qui signifie qu’il ne remarque même pas l’intervention contrôlée sur son ordinateur.
« L’attaquant interagit avec le client en contrôlant le clavier, en cliquant sur les boutons et en déplaçant la souris ; ces fonctionnalités permettent à l’attaquant un contrôle à distance complet de l’appareil. »
Laboratoires de sécurité élastiques
Si vous souhaitez vous protéger le plus efficacement possible des logiciels malveillants comme Lobshot, vous devez avant tout commencer par vous-même. Car le plus gros point faible est généralement l’utilisateur, qui peut être trompé trop facilement par manque de connaissances techniques.