AnyDesk er et nyttigt fjernadgangsadgangsværktøj, der er installeret af mere end 300 million brugere. Desværre, hackere fandt en måde at trojanisere applikationen for nylig malvertising-kampagne.
Legitieme AnyDesk-app, der er målrettet af malvertisers
Cybersikkerhedsforskere fra CrowdStrike rapporterede opdagelsen af et helt malvertiserende netværk rettet mod AnyDesk og leverede et våben installeret af det populære softwareprogram.. At nå intetanende brugere, hackerne brugte falske Google-annoncer, der infiltrerede søgenetværkets resultatsider. Det er mest sandsynligt, at den ondsindede kampagne, der leverede den våbeniserede AnyDeskSetup.exe-fil, startede i april 21. Ved udførelse, filen downloadede et PowerShell-implantat, der exfiltrerede information fra inficerede systemer.
Påvisningen af den malvertiserende kampagne skete ved hjælp af CrowdStrike Falcon-platformen. ”Den oprindelige aktivitet udløste en detektion inden for CrowdStrike Falcon®-platformen, mærket med MITREs teknik T1036, “Masquerading,”Hedder det i rapporten. Forskerne opdagede også en manipuleret eksekverbar fil, der undgik afsløring, forsøger at frokoste et PowerShell-script ved hjælp af en bestemt kommandolinje.
PowerShell-scriptet kan beskrives som en typisk bagdør. Den mere spændende del af operationen er hele indtrængningsmekanismen, viser, at det er mere end din almindelige malvertiseringsindsats. Hackerne brugte ondsindede Google-annoncer til at betjene den våbeniserede app til brugere, der søgte efter det populære AnyDesk-værktøj. Når du klikker på den falske annonce, brugeren ville blive omdirigeret til en social engineering-side, der lignede det legitime AnyDesk-websted. Brugeren vil også få et link til det farlige installationsprogram.
Ifølge CrowdStrike-forskningen, 40% af klikene på den ondsindede annonce førte til faktiske installationer af den trojaniserede AnyDesk-binær. 20% af klikene blev efterfulgt af specifik tastaturaktivitet, som trusselsaktørerne var efter. Disse statistikker viser, at hele kampagnen har en samlet fremragende succesrate:
CrowdStrikes interne tilgængelige data antyder det 40% af klik på denne ondsindede annonce omdannet til installationer af denne trojaniserede AnyDesk-binær, og 20% af installationer inkluderet opfølgning på tastaturaktivitet.
Mens det er ukendt, hvilken procentdel af Google-søgninger på AnyDesk, der resulterede i klik på annoncen, en 40% Trojans installationshastighed fra et annonceklik viser, at dette er en yderst vellykket metode til at få fjernadgang på tværs af en bred vifte af potentielle mål.
Fuld teknisk afsløring af malvertising-kampagnen findes i den oprindelige rapport.
Tidligere opdaget malvertiseringsoperationer
I februar, en malvertiserende kampagne koordineret af ScamClub-gruppen udnyttede en nul-dag i WebKit-baserede browsere. Det endelige mål med operationen var at injicere ondsindede nyttelast, der omdirigerede brugere til websteder designet til gavekortbedrageri. Den malvertiserende kampagne, første gang observeret af Confiant i juni sidste år, udnyttede den kritiske CVE-2021-1801 sårbarhed. Ifølge de officielle oplysninger, sårbarheden blev først opdaget i Apple macOS op til 11.1 af forsker Eliya Stein fra Confiant.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: