Chiến dịch quảng cáo độc hại lây lan qua trình cài đặt AnyDesk được lây lan trên Google

Các nhà nghiên cứu an ninh mạng đã công khai sự gián đoạn của một mạng quảng cáo độc hại "thông minh" nhắm mục tiêu AnyDesk đã cung cấp một trình cài đặt được vũ khí hóa của phần mềm máy tính từ xa thông qua các quảng cáo giả mạo của Google xuất hiện trong các trang kết quả của công cụ tìm kiếm.

Chiến dịch, được cho là đã bắt đầu sớm nhất vào ngày 21 tháng 4 năm 2021, liên quan đến một tệp độc hại giả mạo làm tệp thực thi cài đặt cho AnyDesk (AnyDeskSetup.exe), khi thực hiện, tải xuống bộ cấy PowerShell để tích lũy và lọc thông tin hệ thống .

"Tập lệnh có một số xáo trộn và nhiều chức năng giống như một bộ phận cấy ghép cũng như một miền được mã hóa cứng (zoomstatistic [.] Com) để 'POST' thông tin do thám như tên người dùng, tên máy chủ, hệ điều hành, địa chỉ IP và tên quy trình hiện tại, "các nhà nghiên cứu từ Crowdstrike cho biết trong một phân tích.

Theo trang web của công ty, giải pháp truy cập máy tính từ xa của AnyDesk đã được hơn 300 triệu người dùng trên toàn thế giới tải xuống. Mặc dù công ty an ninh mạng không quy hoạt động trên mạng là do mối đe dọa hoặc mối đe dọa cụ thể, nhưng họ nghi ngờ đây là một "chiến dịch rộng rãi ảnh hưởng đến nhiều khách hàng" do có cơ sở người dùng lớn.

Tập lệnh PowerShell có thể có tất cả các dấu hiệu của một cửa sau điển hình, nhưng đó là lộ trình xâm nhập nơi cuộc tấn công tạo ra một đường cong, báo hiệu rằng nó nằm ngoài một hoạt động thu thập dữ liệu đa dạng - trình cài đặt AnyDesk được phân phối thông qua các quảng cáo độc hại của Google được đặt bởi mối đe dọa diễn viên, sau đó được phục vụ cho những người không nghi ngờ đang sử dụng Google để tìm kiếm 'AnyDesk.'

Kết quả quảng cáo gian lận, khi được nhấp vào, chuyển hướng người dùng đến một trang kỹ thuật xã hội sao chép trang web AnyDesk hợp pháp, ngoài việc cung cấp cho cá nhân một liên kết đến trình cài đặt bị trojanized.

CrowdStrike ước tính rằng 40% nhấp chuột vào quảng cáo độc hại đã chuyển thành cài đặt của tệp nhị phân AnyDesk và 20% trong số cài đặt đó bao gồm hoạt động thực hành theo dõi trên bàn phím. "Mặc dù không biết tỷ lệ phần trăm tìm kiếm AnyDesk trên Google dẫn đến nhấp chuột vào quảng cáo, nhưng tỷ lệ cài đặt Trojan 40% từ một nhấp chuột vào quảng cáo cho thấy rằng đây là một phương pháp cực kỳ thành công để đạt được quyền truy cập từ xa trên nhiều mục tiêu tiềm năng" các nhà nghiên cứu cho biết.

Công ty cũng cho biết họ đã thông báo cho Google về những phát hiện của mình, được cho là đã thực hiện hành động ngay lập tức để loại bỏ quảng cáo đang được đề cập.

Các nhà nghiên cứu kết luận: "Việc sử dụng Google Ads với mục đích xấu này là một cách hiệu quả và thông minh để triển khai hàng loạt các shell, vì nó cung cấp cho tác nhân đe dọa khả năng tự do chọn (các) mục tiêu mà họ quan tâm", các nhà nghiên cứu kết luận.

"Do bản chất của nền tảng quảng cáo Google, nó có thể cung cấp một ước tính thực sự tốt về số lượng người sẽ nhấp vào quảng cáo. Từ đó, kẻ đe dọa có thể lập kế hoạch và ngân sách đầy đủ dựa trên thông tin này. Ngoài các công cụ nhắm mục tiêu như AnyDesk hoặc các công cụ quản trị khác, tác nhân đe dọa có thể nhắm mục tiêu người dùng đặc quyền / quản trị theo một cách duy nhất. "

Hương – Theo The Hacker News