Des experts en cybersécurité ont annoncé mercredi la suppression d’un réseau malvertising intelligent qui ciblait AnyDesk et qui a livré une installation armée du logiciel de bureau à distance via de fausses publicités Google dans les pages de résultats de recherche.
La campagne, qui aurait été lancée dès le 21 avril 2021, contient un fichier malveillant qui se fait passer pour le célèbre AnyDesk et, une fois exécutée, télécharge un implant PowerShell pour collecter et exfiltrer les informations système.
Des chercheurs de Crowdstrike ont déclaré dans une étude que « le script avait une certaine obscurcissement et de multiples fonctions qui ressemblaient à un implant ainsi qu’à un domaine codé en dur (zoomstatistic[.]com) aux informations de reconnaissance ‘POST’ telles que le nom d’utilisateur, le nom d’hôte, le système d’exploitation, l’adresse IP et le nom du processus actuel « .
Selon le site Web de la société, la solution d’accès au bureau à distance d’AnyDesk a été téléchargée par plus de 300 millions de personnes dans le monde. Bien que l’entreprise de cybersécurité ne puisse pas attribuer la cyberactivité criminelle à un seul acteur de la menace, elle a supposé qu’il s’agissait d’une campagne généralisée affectant un large éventail de clients.
Le script PowerShell a toutes les caractéristiques d’une porte dérobée typique, mais c’est au cours de la route d’intrusion que l’attaque se produit et signale qu’il s’agit plus qu’une simple opération de collecte de données de routine – le programme d’installation d’AnyDesk est distribué via des publicités Google malveillantes placées par le acteur de la menace, puis envoyé à des personnes sans méfiance qui recherchent AnyDesk à l’aide de Google.
Les utilisateurs sont induits en erreur en téléchargeant un faux programme d’installation AnyDesk infecté
Lorsque les visiteurs cliquent sur la fausse annonce, ils sont envoyés vers une page d’ingénierie sociale qui est un clone du site Web authentique d’AnyDesk et contient un lien vers le programme d’installation du cheval de Troie.
CrowdStrike estime que 40% des clics sur l’annonce malveillante ont conduit à l’installation du malware AnyDesk, 20% de ces installations impliquant un comportement pratique du clavier.
Selon les chercheurs en sécurité, « Bien que l’on ne sache pas quel pourcentage des recherches Google pour AnyDesk ont abouti à des clics sur l’annonce, un taux d’installation de 40% de chevaux de Troie à partir d’un clic sur une annonce montre qu’il s’agit d’une méthode extrêmement efficace pour obtenir un accès à distance sur un large éventail. cibles potentielles « .
La société a également déclaré avoir informé Google de ses conclusions, qui aurait pris des mesures immédiates pour retirer l’annonce en question.