Kampanye Malvertising di Google, Mendistribusikan Penginstal AnyDesk Trojanized

  • Whatsapp
AnyDesk

Peneliti cybersecurity pada hari Rabu mempublikasikan gangguan jaringan malvertising “pintar” yang menargetkan AnyDesk yang mengirimkan penginstal perangkat lunak desktop jarak jauh yang dipersenjatai melalui iklan Google nakal yang muncul di halaman hasil mesin pencari.

Kampanye, yang diyakini telah dimulai pada 21 April 2021, melibatkan file berbahaya yang menyamar sebagai setup yang dapat dieksekusi untuk AnyDesk (AnyDeskSetup.exe), yang, setelah eksekusi, mendownload implan PowerShell untuk mengumpulkan dan mengekstrak informasi sistem .

Bacaan Lainnya

“Skrip memiliki beberapa kebingungan dan beberapa fungsi yang menyerupai implan serta domain hardcode (zoomstatistic[.]com) ke informasi pengintaian ‘POST’ seperti nama pengguna, nama host, sistem operasi, alamat IP, dan nama proses saat ini, “peneliti dari Crowdstrike kata dalam sebuah analisis.

auditor kata sandi

Solusi akses desktop jarak jauh AnyDesk telah diunduh oleh lebih dari 300 juta pengguna di seluruh dunia, menurut situs web perusahaan. Meskipun perusahaan keamanan siber tidak mengaitkan aktivitas dunia maya dengan pelaku atau penghubung ancaman tertentu, perusahaan menduga hal itu merupakan “kampanye luas yang memengaruhi berbagai pelanggan” mengingat basis pengguna yang besar.

AnyDesk

Skrip PowerShell mungkin memiliki semua ciri khas pintu belakang, tetapi itu adalah rute intrusi di mana serangan itu membuat kurva, menandakan bahwa itu di luar operasi pengumpulan data berbagai taman – pemasang AnyDesk didistribusikan melalui iklan Google berbahaya yang ditempatkan oleh ancaman aktor, yang kemudian disajikan kepada orang-orang yang tidak menaruh curiga yang menggunakan Google untuk mencari ‘AnyDesk.’

Hasil iklan penipuan, saat diklik, mengarahkan pengguna ke halaman manipulasi psikologis yang merupakan tiruan dari situs web AnyDesk yang sah, selain memberikan tautan ke penginstal trojan untuk individu tersebut.

CrowdStrike memperkirakan bahwa 40% klik pada iklan berbahaya berubah menjadi penginstalan biner AnyDesk, dan 20% dari penginstalan tersebut menyertakan aktivitas keyboard langsung berikutnya. “Meskipun tidak diketahui persentase penelusuran Google untuk AnyDesk yang menghasilkan klik pada iklan, tingkat penginstalan Trojan 40% dari klik iklan menunjukkan bahwa ini adalah metode yang sangat berhasil untuk mendapatkan akses jarak jauh di berbagai target potensial,” kata para peneliti.

Perusahaan juga mengatakan telah memberi tahu Google tentang temuannya, yang dikatakan telah mengambil tindakan segera untuk menarik iklan tersebut.

“Penggunaan Google Ads yang berbahaya ini adalah cara yang efektif dan cerdik untuk menyebarkan shell secara massal, karena ini memberikan aktor ancaman kemampuan untuk secara bebas memilih dan memilih target yang mereka minati,” para peneliti menyimpulkan.

“Karena sifat platform periklanan Google, ini dapat memberikan perkiraan yang sangat baik tentang berapa banyak orang yang akan mengklik iklan. Dari situ, pelaku ancaman dapat merencanakan dan menganggarkan secara memadai berdasarkan informasi ini. Selain alat penargetan seperti AnyDesk atau alat administratif lainnya, pelaku ancaman dapat menargetkan pengguna yang memiliki hak istimewa / administratif dengan cara yang unik. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *