AnyDesk è un utile strumento di accesso al desktop remoto che è stato installato da più di 300 milioni di utenti. Sfortunatamente, gli hacker hanno trovato un modo per trojanizzare l'applicazione in un recente campagna pubblicitaria.
App AnyDesk legittima presa di mira da malvertiser
I ricercatori di Cybersecurity di CrowdStrike hanno segnalato la scoperta di un'intera rete di malvertising che prende di mira AnyDesk e fornisce un'installazione armata della popolare utility software. Per raggiungere utenti ignari, gli hacker hanno utilizzato annunci Google non autorizzati che si sono infiltrati nelle pagine dei risultati della rete di ricerca. È molto probabile che la campagna dannosa che consegna il file AnyDeskSetup.exe come arma sia decollata ad aprile 21. Al momento dell'esecuzione, il file ha scaricato un impianto PowerShell che ha esfiltrato informazioni dai sistemi infetti.
Il rilevamento della campagna di malvertising è avvenuto con l'aiuto della piattaforma CrowdStrike Falcon. “L'attività iniziale ha attivato un rilevamento all'interno della piattaforma CrowdStrike Falcon®, etichettato con la tecnica MITRE T1036, “Mascheramento,”Dice il rapporto. I ricercatori hanno anche scoperto un eseguibile manipolato che sfuggiva al rilevamento, tentativo di pranzare uno script PowerShell utilizzando una riga di comando specifica.
Lo script PowerShell può essere descritto come una tipica backdoor. La parte più intrigante dell'operazione è l'intero meccanismo di intrusione, dimostrando che è qualcosa di più del normale impegno di malvertising. Gli hacker hanno utilizzato annunci Google dannosi per offrire l'app armata agli utenti che cercano il popolare strumento AnyDesk. Dopo aver fatto clic sull'annuncio falso, l'utente verrebbe reindirizzato a una pagina di ingegneria sociale che assomigliava al sito web legittimo di AnyDesk. All'utente verrebbe anche fornito un collegamento all'installatore pericoloso.
Secondo la ricerca CrowdStrike, 40% dei clic sull'annuncio dannoso ha portato a installazioni effettive del binario AnyDesk sottoposto a trojan. 20% dei clic sono stati seguiti da un'attività specifica della tastiera che gli attori della minaccia stavano cercando. Queste statistiche dimostrano che l'intera campagna ha un eccellente tasso di successo complessivo:
I dati interni disponibili di CrowdStrike suggeriscono che 40% di clic su questo annuncio dannoso si sono trasformati in installazioni di questo binario AnyDesk trojan, e 20% delle installazioni includeva attività pratiche successive sulla tastiera.
Sebbene non sia noto quale percentuale di ricerche su Google per AnyDesk abbia generato clic sull'annuncio, un 40% La velocità di installazione di un trojan da un clic su un annuncio mostra che questo è un metodo estremamente efficace per ottenere l'accesso remoto su un'ampia gamma di potenziali target.
La divulgazione tecnica completa della campagna di malvertising è disponibile in il report originale.
Operazioni di malvertising rilevate in precedenza
Nel mese di febbraio, una campagna di malvertising coordinata dal gruppo ScamClub sfruttato uno zero-day nei browser basati su WebKit. L'obiettivo finale dell'operazione era quello di iniettare payload dannosi che reindirizzano gli utenti a siti progettati per truffe di carte regalo. La campagna di malvertising, osservato per la prima volta da Confiant nel giugno dello scorso anno, sfruttato la vulnerabilità critica CVE-2021-1801. Secondo le informazioni ufficiali, la vulnerabilità è stata scoperta per la prima volta in Apple macOS fino a 11.1 dalla ricercatrice Eliya Stein di Confiant.