AnyDesk é uma ferramenta útil de acesso remoto à área de trabalho que foi instalada por mais de 300 milhões de usuários. Infelizmente, hackers encontraram uma maneira de trojanizar o aplicativo em um recente campanha de malvertising.
Aplicativo AnyDesk legítimo Tarteged por Malvertisers
Pesquisadores de cibersegurança da CrowdStrike relataram a descoberta de uma rede inteira de malvertising visando AnyDesk e entregando um utilitário de software popular instalado como arma.. Para alcançar usuários desavisados, os hackers usaram anúncios fraudulentos do Google que se infiltraram nas páginas de resultados da rede de pesquisa. É mais provável que a campanha maliciosa de entrega do arquivo AnyDeskSetup.exe como arma decolou em abril 21. Após a execução, o arquivo baixou um implante PowerShell que exfiltrou informações de sistemas infectados.
A detecção da campanha de malvertising aconteceu com a ajuda da plataforma CrowdStrike Falcon. “A atividade inicial acionou uma detecção na plataforma CrowdStrike Falcon®, marcado com a técnica MITRE T1036, “Masquerading,”Disse o relatório. Os pesquisadores também descobriram um executável manipulado que evitou a detecção, tentando lançar um script PowerShell usando uma linha de comando específica.
O script do PowerShell pode ser descrito como um backdoor típico. A parte mais intrigante da operação é todo o mecanismo de intrusão, mostrando que é mais do que seu esforço normal de malvertising. Os hackers usaram anúncios maliciosos do Google para exibir o aplicativo armado para usuários que buscavam a popular ferramenta AnyDesk. Ao clicar no anúncio falso, o usuário seria redirecionado para uma página de engenharia social que parecia o site legítimo do AnyDesk. O usuário também receberá um link para o instalador perigoso.
De acordo com a pesquisa CrowdStrike, 40% dos cliques no anúncio malicioso levaram a instalações reais do binário AnyDesk trojanizado. 20% dos cliques foram seguidos por uma atividade específica do teclado que os atores da ameaça buscavam. Essas estatísticas provam que toda a campanha tem uma excelente taxa de sucesso geral:
Os dados internos disponíveis de CrowdStrike sugerem que 40% de cliques neste anúncio malicioso transformado em instalações deste binário AnyDesk trojanizado, e 20% das instalações incluíram atividades práticas no teclado.
Embora não se saiba qual porcentagem das pesquisas do Google por AnyDesk resultou em cliques no anúncio, uma 40% A taxa de instalação de cavalos de Tróia a partir de um clique em um anúncio mostra que este é um método extremamente bem-sucedido de obter acesso remoto em uma ampla gama de alvos potenciais.
A divulgação técnica completa da campanha de malvertising está disponível em o relatório original.
Operações de Malvertising Detectadas Anteriormente
Em fevereiro, uma campanha de malvertising coordenada pelo grupo ScamClub explorou um dia zero em navegadores baseados em WebKit. O objetivo final da operação era injetar cargas maliciosas que redirecionam os usuários para sites projetados para golpes de vale-presente. A campanha de malvertising, observado pela primeira vez pela Confiant em junho do ano passado, explorou a vulnerabilidade crítica CVE-2021-1801. De acordo com as informações oficiais, a vulnerabilidade foi descoberta pela primeira vez no Apple macOS até 11.1 pelo pesquisador Eliya Stein da Confiant.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: