AnyDeskは、以上のユーザーによってインストールされている便利なリモートデスクトップアクセスツールです。 300 百万人のユーザー. 不運にも, ハッカーは最近、アプリケーションをトロイの木馬化する方法を見つけました マルバタイジングキャンペーン.
Malvertisersによって標的にされた合法的なAnyDeskアプリ
クラウドストライクのサイバーセキュリティ研究者は、AnyDeskを標的とし、人気のあるソフトウェアユーティリティの武器化されたインストールを提供するマルバタイジングネットワーク全体の発見を報告しました. 疑いを持たないユーザーにリーチするには, ハッカーは、検索ネットワークの結果ページに侵入した不正なGoogle広告を使用しました. 武器化されたAnyDeskSetup.exeファイルを配信する悪意のあるキャンペーンが4月に開始された可能性があります 21. 実行時, ファイルは、感染したシステムから情報を盗み出すPowerShellインプラントをダウンロードしました.
マルバタイジングキャンペーンの検出は、CrowdStrikeFalconプラットフォームの助けを借りて行われました。. 「最初のアクティビティにより、CrowdStrikeFalcon®プラットフォーム内で検出がトリガーされました, MITREのテクニックT1036でタグ付け, 「マスカレード,」レポートは言った. 研究者はまた、検出を回避する操作された実行可能ファイルを発見しました, 特定のコマンドラインを使用してPowerShellスクリプトをランチしようとしています.
PowerShellスクリプトは、典型的なバックドアとして説明できます. 操作のより興味深い部分は、侵入メカニズム全体です。, それがあなたの通常のマルバタイジング努力以上のものであることを示す. ハッカーは悪意のあるGoogle広告を使用して、人気のあるAnyDeskツールを検索しているユーザーに武器化されたアプリを配信しました. 偽の広告をクリックすると, ユーザーは、正規のAnyDeskWebサイトのように見えるソーシャルエンジニアリングページにリダイレクトされます。. ユーザーには、危険なインストーラーへのリンクも提供されます.
クラウドストライクの調査によると, 40% 悪意のある広告のクリック数が、トロイの木馬化されたAnyDeskバイナリの実際のインストールにつながりました. 20% クリックの後に、脅威アクターが行った特定のキーボードアクティビティが続きました. これらの統計は、キャンペーン全体が全体的に優れた成功率を持っていることを証明しています:
クラウドストライクの内部で利用可能なデータは、 40% この悪意のある広告のクリック数は、このトロイの木馬化されたAnyDeskバイナリのインストールになりました, と 20% インストールの数には、その後のハンズオンキーボードアクティビティが含まれていました.
AnyDeskを検索したGoogleの何パーセントが広告のクリックにつながったかは不明ですが、, a 40% 広告クリックからのトロイの木馬のインストール率は、これが広範囲の潜在的なターゲットにわたってリモートアクセスを取得する非常に成功した方法であることを示しています.
マルバタイジングキャンペーンの完全な技術的開示は、 元のレポート.
以前に検出されたマルバタイジング操作
2月中, ScamClubグループによって調整されたマルバタイジングキャンペーン WebKitベースのブラウザでゼロデイ攻撃を悪用. この操作の最終目標は、ギフトカード詐欺用に設計されたサイトにユーザーをリダイレクトする悪意のあるペイロードを注入することでした。. マルバタイジングキャンペーン, 昨年6月にConfiantによって最初に観察された, 重大なCVE-2021-1801の脆弱性を悪用. 公式情報によると, この脆弱性は、ApplemacOSで最初に発見されました。 11.1 Confiantの研究者EliyaSteinによる.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: