Исследователи в области кибербезопасности обнародовали информацию о пресечении деятельности «умной» сети вредоносной рекламы, нацеленной на AnyDesk, которая распространяла программу установки программного обеспечения для удаленного рабочего стола с внедренным вредоносным ПО с помощью мошеннических объявлений Google, появлявшихся на страницах результатов поисковых систем.
Кампания, которая, предположительно, началась еще 21 апреля 2021 года, включает маскирующийся под исполняемый файл установки AnyDesk (AnyDeskSetup.exe) вредоносный файл, который после выполнения загружает имплант PowerShell для сбора и извлечения системной информации.
«Скрипт имел некоторую обфускацию и множество функций, напоминающих имплант, а также жестко закодированный домен (zoomstatistic[.]com) для отправки POST-запросами данных о пользователе: имя пользователя, имя хоста, операционная система, IP-адрес и имя текущего процесса» - сообщается в анализе исследователей из Crowdstrike.
Решение AnyDesk для удаленного доступа к рабочему столу загрузили более 300 миллионов пользователей по всему миру, согласно веб-сайту компании. Хотя кибер-атака не приписывается конкретному злоумышленнику, есть подозрения что это «широкомасштабная кампания, затрагивающая широкий круг клиентов», учитывая большую базу пользователей.
Скрипт PowerShell может иметь все признаки типичного бэкдора, но именно на пути проникновения атака имеет отличия, что сигнализирует о выходе вредоноса за рамки обычной операции по сбору данных. Программа установки AnyDesk распространяется через вредоносные рекламные объявления Google, которые предлагаются ничего не подозревающим людям, использующим Google для поиска «AnyDesk».
При нажатии на мошенническую рекламу пользователи перенаправляются на фишинговую страницу, которая является клоном легитимного веб-сайта AnyDesk и предлагает ссылку на троянскую программу установки.
По оценкам CrowdStrike, 40% кликов на вредоносную рекламу привели к установке вредоносного бинарного файла AnyDesk, а 20% из этих установок включали последующие действия с клавиатурой. «Хотя неизвестно, какой процент поисковых запросов Google по AnyDesk привел к кликам на объявление, 40% установки трояна после клика на объявление показывают, что это чрезвычайно успешный метод получения удаленного доступа к широкому кругу потенциальных целей» - заявили исследователи.
Компания также сообщила, что уведомила Google о своих находках, и поисковик, как утверждается, принял незамедлительные меры по удалению рассматриваемого объявления.
«Вредоносное использование Google Ads является эффективным и умным способом массового внедрения вредоносов, так как предоставляет атакующим возможность свободно выбирать интересующие его цели» - заключили исследователи.
«Благодаря природе рекламной платформы Google она может предоставить действительно хорошую оценку того, сколько людей кликнет на объявление. Исходя из этого, злоумышленник может адекватно планировать и составлять бюджет на основе этой информации. В дополнение к таким инструментам, как AnyDesk или другим административным инструментам, атакующие могут выборочно нацелиться на привилегированных/административных пользователей».
Источник: https://is-systems.org