Die Lobshot-Malware ist eine neue Bedrohung für Windows-Systeme die es Angreifern ermöglicht, unbemerkt auf infizierte Computer zuzugreifen. Mit Hilfe eines hVNC-Moduls können die Angreifer den infizierten Rechner aus der Ferne steuern. Nicht nur werden Informationen über Krypto-Wallets gesammelt, allerdings die Malware stellt ebenfalls eine versteckte Fernsteuerung via hVNC bereit. Die Malware wird über gefälschte Webseiten verbreitet die in den Google Ads sichtbar sind. Die Domain amydecke.website ist ein Beispiel für eine solche Webseite.
Lobshot-Malware wird über Google Ads verbreitet
Cyberkriminelle machen sich zunehmend Google-Werbeanzeigen zu Nutze um ihre Schadsoftware zu verbreiten. Dabei nutzen sie gerne Namen und Logos bekannter und kostenloser Softwareprodukte wie zum Beispiel 7-Zip, CCleaner, VLC, OBS oder Notepad++. Die Lobshot-Malware gesellt sich nun zu diesen Bedrohungen und tarnt sich als scheinbar harmloses AnyDesk-Fernwartungstool. Die Domain amydecke.website ist ein Hinweis darauf, dass die Anwendung nicht vertrauenswürdig ist.
Lobshot-Malware gibt Angreifern Remote-Zugriff auf infizierte Geräte
Die Malware wird über eine MSI-Datei verbreitet die lediglich einen Loader enthält. Nach der Ausführung durch den Nutzer lädt ein PowerShell-Skript die tatsächliche Lobshot-Malware in Form einer DLL-Datei von der Domain download-cdn.com herunter. Sobald die Malware aktiv ist wird geprüft ob der Windows Defender ausgeführt wird. Wenn ja » beendet sich die Malware automatisch « um sich vor dem Sicherheitstool zu verstecken. Andernfalls nistet sich die böswillige Software im Autostart des Betriebssystems ein und kann sich nach der nächsten Benutzeranmeldung ungehindert fortsetzen. Die Malware überträgt einige Systeminformationen und auch eine Auflistung installierter Browsererweiterungen gängiger Krypto-Wallets an den Angreifer.
hVNC-Modul ermöglicht versteckten Fernzugriff
Die Lobshot-Malware verfügt zusätzlich über ein hVNC-Modul (Hidden Virtual Network Computing), das es dem Angreifer erlaubt, das infizierte System über einen versteckten Desktop zu steuern. Der reguläre Desktop des Anwenders bleibt davon völlig unberührt, sodaß dieser von dem kontrollierten Eingriff auf seinen Rechner gar nichts mitbekommt. Der Angreifer kann mit Hilfe der Tastatur – Maus und Schaltflächen das Gerät fernsteuern.
Schutz vor Lobshot-Malware
Um sich effektiv vor Malware wie Lobshot zu schützen, sollten Anwender vorsichtig sein und sich nicht durch gefälschte Webseiten in die Irre führen lassen. Essenziell bleibt auf verdächtige Aktivitäten des Computers zu achten und regelmäßige Sicherheitsupdates durchzuführen. Wenn der Verdacht besteht: Das System infiziert ist, sollten Sofortmaßnahmen ergriffen werden um den Schaden zu minimieren.
Kommentare