AnyDesk ist ein nützliches Tool für den Remotedesktopzugriff, das von mehr als installiert wurde 300 Millionen Nutzer. Leider, Hacker haben kürzlich einen Weg gefunden, die Anwendung zu trojanisieren Werbekampagne.
Legitime AnyDesk-App, die von Malvertisern entwickelt wurde
Cybersicherheitsforscher von CrowdStrike berichteten von der Entdeckung eines ganzen Malvertising-Netzwerks, das auf AnyDesk abzielte und eine waffenfähige Installation des beliebten Software-Dienstprogramms lieferte. Um ahnungslose Nutzer zu erreichen, Die Hacker verwendeten betrügerische Google-Anzeigen, die die Ergebnisseiten des Suchnetzwerks infiltrierten. Es ist sehr wahrscheinlich, dass die bösartige Kampagne, die die waffenfähige AnyDeskSetup.exe-Datei lieferte, im April startete 21. Bei der Ausführung, In der Datei wurde ein PowerShell-Implantat heruntergeladen, das Informationen aus infizierten Systemen herausfiltrierte.
Die Erkennung der Malvertising-Kampagne erfolgte mit Hilfe der CrowdStrike Falcon-Plattform. „Die anfängliche Aktivität löste eine Erkennung innerhalb der CrowdStrike Falcon®-Plattform aus, markiert mit MITREs Technik T1036, „Maskieren,“So der Bericht. Die Forscher entdeckten auch eine manipulierte ausführbare Datei, die sich der Erkennung entzogen hat, Versuch, ein PowerShell-Skript mit einer bestimmten Befehlszeile zu Mittag zu essen.
Das PowerShell-Skript kann als typische Hintertür beschrieben werden. Der faszinierendere Teil der Operation ist der gesamte Einbruchsmechanismus, Dies zeigt, dass es mehr ist als Ihre normale Werbemaßnahme. Die Hacker verwendeten böswillige Google-Anzeigen, um die Waffen-App für Benutzer bereitzustellen, die nach dem beliebten AnyDesk-Tool suchen. Beim Klicken auf die gefälschte Anzeige, Der Benutzer wird auf eine Social-Engineering-Seite weitergeleitet, die wie die legitime AnyDesk-Website aussieht. Dem Benutzer würde auch ein Link zum gefährlichen Installationsprogramm bereitgestellt.
Laut der CrowdStrike-Forschung, 40% der Klicks auf die bösartige Anzeige führten zu tatsächlichen Installationen der trojanisierten AnyDesk-Binärdatei. 20% der Klicks folgten spezifische Tastaturaktivitäten, hinter denen die Bedrohungsakteure her waren. Diese Statistiken belegen, dass die gesamte Kampagne insgesamt eine hervorragende Erfolgsquote aufweist:
Die internen verfügbaren Daten von CrowdStrike legen dies nahe 40% Aus Klicks auf diese bösartige Anzeige wurden Installationen dieser trojanisierten AnyDesk-Binärdatei, und 20% Zu den Installationen gehörten praktische Aktivitäten auf der Tastatur.
Es ist zwar nicht bekannt, wie viel Prozent der Google-Suchanfragen nach AnyDesk zu Klicks auf die Anzeige geführt haben, ein 40% Die Installationsrate von Trojanern durch einen Klick auf eine Anzeige zeigt, dass dies eine äußerst erfolgreiche Methode ist, um Fernzugriff auf eine Vielzahl potenzieller Ziele zu erhalten.
Die vollständige technische Offenlegung der Werbekampagne ist in verfügbar der ursprüngliche Bericht.
Zuvor erkannte Malvertising-Vorgänge
Im Februar, eine von der ScamClub-Gruppe koordinierte Werbekampagne In WebKit-basierten Browsern wurde ein Zero-Day ausgenutzt. Das Endziel des Vorgangs bestand darin, böswillige Nutzdaten zu injizieren, die Benutzer auf Websites umleiten, die für Betrug mit Geschenkkarten konzipiert sind. Die Werbekampagne, erstmals von Confiant im Juni letzten Jahres beobachtet, Ausnutzung der kritischen Sicherheitsanfälligkeit CVE-2021-1801. Nach offiziellen Angaben, Die Sicherheitslücke wurde erstmals in Apple MacOS bis entdeckt 11.1 von der Forscherin Eliya Stein von Confiant.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: