Škodlivá kampaň na Google Distribuovaný trojanizovaný AnyDesk Installer

Výskumníci v oblasti kybernetickej bezpečnosti v stredu zverejnili narušenie „chytrej“ siete škodlivej inzercie zameranej na AnyDesk, ktorá doručila zbraňový inštalátor softvéru vzdialenej pracovnej plochy prostredníctvom nečestných reklám Google, ktoré sa objavili na stránkach s výsledkami vyhľadávacích nástrojov.

Kampaň, o ktorej sa predpokladá, že začala už 21. apríla 2021, zahŕňa škodlivý súbor, ktorý sa vydáva za spustiteľné nastavenie pre AnyDesk (AnyDeskSetup.exe), ktorý po spustení stiahne implantát PowerShell na zhromaždenie a exfiltráciu systémových informácií. .

„Skript mal určité zahmlievanie a viaceré funkcie, ktoré pripomínali implantát, ako aj pevne zakódovanú doménu (zoomštatistika[.]com) na „POST“ prieskumné informácie, ako je meno používateľa, názov hostiteľa, operačný systém, IP adresa a názov aktuálneho procesu,“ uviedli v analýze výskumníci z Crowdstrike.

Riešenie prístupu na vzdialenú plochu AnyDesk si podľa webovej stránky spoločnosti stiahlo viac ako 300 miliónov používateľov po celom svete. Hoci spoločnosť zaoberajúca sa kybernetickou bezpečnosťou nepripisovala kybernetickú aktivitu konkrétnemu aktérovi hrozby alebo spojitosti, vzhľadom na veľkú používateľskú základňu mala podozrenie, že ide o „rozšírenú kampaň ovplyvňujúcu široké spektrum zákazníkov“.

Skript PowerShell môže mať všetky znaky typického zadného vrátka, ale je to cesta vniknutia, kde útok vrhá krivku, ktorá signalizuje, že ide nad rámec operácie zhromažďovania údajov rôznych záhrad – inštalačný program AnyDesk je distribuovaný prostredníctvom škodlivých reklám Google umiestnených hrozbou. herec, ktoré sú potom doručené nič netušiacim ľuďom, ktorí používajú Google na vyhľadávanie výrazu „AnyDesk“.

Výsledok podvodnej reklamy po kliknutí presmeruje používateľov na stránku sociálneho inžinierstva, ktorá je klonom legitímnej webovej stránky AnyDesk, a okrem toho poskytne jednotlivcovi odkaz na inštalačný program s trójskymi lanami.

CrowdStrike odhaduje, že 40 % kliknutí na škodlivú reklamu sa zmenilo na inštalácie binárneho AnyDesk a 20 % z týchto inštalácií zahŕňalo následnú praktickú aktivitu na klávesnici. „Hoci nie je známe, aké percento vyhľadávaní AnyDesk na Google viedlo ku kliknutiam na reklamu, 40 % miera inštalácie trójskych koní z kliknutia na reklamu ukazuje, že ide o mimoriadne úspešnú metódu získania vzdialeného prístupu k širokej škále potenciálnych cieľov.“ povedali výskumníci.

Spoločnosť tiež uviedla, že o svojich zisteniach informovala Google, ktorý údajne podnikol okamžité kroky na stiahnutie predmetnej reklamy.

„Toto zlomyseľné použitie služby Google Ads je efektívnym a šikovným spôsobom, ako dosiahnuť masové nasadenie granátov, pretože poskytuje aktérom hrozby možnosť slobodne si vybrať a vybrať si cieľ (ciele), ktorý ho zaujíma,“ uzavreli vedci.

“Vzhľadom na povahu reklamnej platformy Google dokáže poskytnúť naozaj dobrý odhad, koľko ľudí klikne na reklamu. Na základe toho môže aktér hrozby adekvátne plánovať a rozpočet na základe týchto informácií. Okrem nástrojov na zacielenie, ako je napr. AnyDesk alebo iné administratívne nástroje, môže aktér hrozby zacieliť na privilegovaných/administratívnych používateľov jedinečným spôsobom.”