Hackers atacam AnyDesk usando campanha de malvertising

Hackers atacam AnyDesk usando campanha de malvertising. Pesquisadores detectaram que toda uma rede de malware está continuamente atacando AnyDesk. 

AnyDesk é um dos famosos aplicativos de desktop remoto e, recentemente, os pesquisadores de segurança cibernética CrowdStrike detectaram que toda uma rede de malware está continuamente atacando AnyDesk. 

Embora o malvertising já exista há um bom tempo, ele continua a ser uma forma eficaz de atrair usuários desavisados ​​para instalar malware. A Equipe da Crowdstrike, descreveu em seu blog, uma campanha de malvertising inteligente que levou à descoberta de um instalador AnyDesk como arma que estava sendo entregue por meio de pesquisas direcionadas de anúncios do Google para a palavra-chave “anydesk”.

Já em 21 de abril de 2021, a equipe CrowdStrike Falcon Complete ™ observou um arquivo suspeito disfarçado de AnyDesk chamado “AnyDeskSetup.exe” sendo gravado no disco e exibindo comportamento suspeito. No entanto, este não era o aplicativo AnyDesk Remote Desktop legítimo – em vez disso, ele foi equipado com recursos adicionais. A detecção inicial descrita pelos especiaistas deu início a uma colaboração interna entre as equipes de caça a ameaças Falcon OverWatch ™ da CrowdStrike, Inteligência e Detecção e Resposta de Ameaças para juntar tudo e responder a essa atividade emergente.

O fato mais interessante desse malware é que eles estão usando anúncios fraudulentos do Google que estão penetrando nas páginas de resultados da rede de pesquisa para que os hackers possam alcançar facilmente os usuários desavisados.

Detecção Inicial

De acordo com os analistas de segurança cibernética do relatório CrowdStrike , a detecção inicial deste malware é que ele está usando o método T1036 do MITRE para mascarar ( técnica de evasão ).

Além disso, o malware ganhou um arquivo executável que parece ter sido influenciado para evitar qualquer tipo de detecção. Não só isso, mas também está tentando iniciar scripts PowerShell muito fortes que têm a linha de comando:  C: \ Intel \ rexc.exe” -exec bypass \ Intel \ g.ps1

No entanto, em uma investigação, os especialistas detectaram um arquivo “rexc.exe” que parece ser um binário do PowerShell renomeado, e aqui o principal motivo desse arquivo é ignorar e evitar detecções que estão ocorrendo.

Malvertisers desenvolveu o aplicativo Legit AnyDesk

Depois de passar por esse malware, os especialistas descobriram que a campanha maliciosa está despachando todos os arquivos AnyDeskSetup.exe montados, que decolou em 21 de abril. 

Quando esses arquivos estavam sendo executados, os especialistas notaram que estavam baixando um implante PowerShell, que está continuamente exfiltrando todos os dados e informações do sistema afetado.

Campanha de Malvertising

As pessoas que estão pesquisando AnyDesk no Google estavam sendo atendidas por anúncios maliciosos do Google que foram colocados pelos atores da ameaça, e isso está acontecendo desde 21 de abril de 2021.

No entanto, esta campanha maliciosa está usando sites intermediários, que posteriormente podem ser redirecionados para uma página de engenharia social em um URL específico que é https: //anydesk.s3-us-west-1.amazonaws [.] Com / AnydeskSetup.exe, e todas as páginas hospedadas neste URL são um clone do site original da AnyDesk.

Sites intermediários usados

Os sites intermediários usados ​​pelos atores da ameaça são: 

• turismoelsalto[.]cl
• rockministry [.] org
• curaduria3[.]com

Após a investigação, os pesquisadores de segurança descobriram que os atores da ameaça estão gastando US $ 1,75 por clique. No entanto, os especialistas afirmaram que esse método não ajudará os atores da ameaça a obter uma cobertura do ataque direcionado que desejam.

Mas o uso de anúncios maliciosos do Google é um método bastante eficaz para obter uma maneira eficaz de preparar a implantação em massa de shells. É por isso que os analistas afirmam que o AnyDesk é um alvo bastante comum para os agentes de ameaças, portanto, os usuários devem ficar atentos a esses ataques.

Dada a popularidade do AnyDesk, os especialista acreditam que esta foi uma campanha generalizada que afetou uma ampla gama de clientes. Esse uso malicioso do Google Ads é uma maneira eficaz e inteligente de obter implantação em massa de shells, pois fornece ao agente da ameaça a capacidade de escolher livremente seus alvos de interesse. Devido à natureza da plataforma de publicidade do Google, ela pode fornecer uma estimativa muito boa de quantas pessoas clicarão no anúncio. A partir disso, o ator da ameaça pode planejar e fazer um orçamento adequado com base nessas informações. Além de direcionar ferramentas como AnyDesk ou outras ferramentas administrativas, o ator da ameaça pode direcionar usuários privilegiados / administrativos de uma maneira única. Por esta razão, a equipe CrowdStrike notificou o Google sobre a atividade observada para que pudessem tomar medidas contra a campanha de malvertising. Parece que o Google rapidamente tomou as medidas adequadas, porque, no momento deste blog, o anúncio não estava mais sendo veiculado.

Fonte: Crowdstrike & GBHackers

Veja também:

• Cibersegurança agora é uma das principais prioridades corporativas
• Cloudflare lança campanha para ‘acabar com a loucura’ dos CAPTCHAs
• O WhatsApp limitará os recursos para usuários que não aceitam novas regras
• Ransomware Task Force (RTF) lança Framework contra Ransomware.
• Ransomware Task Force: É hora de acabar com o ransomware
• Por que sua postura de segurança cibernética deve ser de confiança zero
• Milhões colocados em risco por roteadores antigos e desatualizados
• Cibercriminosos iniciaram exploração de Microsoft Exchange vulneráveis 5 minutos após as notícias se tornarem públicas
• As 10 principais detecções de ameaças observadas no Microsoft Azure AD e Office 365
• Pontuação de crédito exposta em API da Experian EUA utilizada por parceiros
• Bruxas, feiticeiros e super-heróis podem ajudar seus filhos a ficarem protegidos
• Ataques cibernéticos custam a pequenas empresas dos EUA US $ 25 mil anualmente