Les chercheurs en cybersécurité de Crowdstrike ont révélé le retrait d’un réseau de malvertising sophistiqué qui ciblait AnyDesk et livrait une installation armée du logiciel de bureau à distance via de fausses publicités Google dans les pages de résultats de recherche mercredi.
La campagne, qui aurait commencé le 21 avril 2021, contient un fichier malveillant déguisé en exécutable d’installation AnyDesk (AnyDeskSetup.exe), qui, une fois exécuté, télécharge un implant PowerShell qui collecte et exfiltre les données système.
Au lieu des développeurs d’origine «philandro Software GmbH», l’exécutable frauduleux du fichier a été signé par «Digital IT Consultants Plus Inc».
«Le script avait une certaine obscurcissement et de multiples fonctions qui ressemblaient à un implant, ainsi qu’un domaine codé en dur (zoomstatisticcom) aux informations de reconnaissance «POST» telles que le nom d’utilisateur, le nom d’hôte, le système d’exploitation, l’adresse IP et le nom du processus actuel », ont déclaré les chercheurs de Crowdstrike dans leur analyse.
La solution d’accès au bureau à distance d’AnyDesk a été téléchargée par plus de 300 millions de personnes dans le monde, selon le site Web de la société.
Bien que l’entreprise de cybersécurité n’ait pas été en mesure d’identifier un seul acteur de la menace, elle pensait que la cyberactivité illégale faisait partie d’une opération plus large affectant un large éventail de consommateurs.
Le script PowerShell a toutes les caractéristiques d’une porte dérobée typique, mais c’est au cours de la route d’intrusion que l’attaque se produit et signale qu’il s’agit plus qu’une simple opération de collecte de données de routine – le programme d’installation d’AnyDesk est distribué via des annonces Google malveillantes placées par l’acteur de la menace et ensuite envoyé à des personnes sans méfiance qui Google pour AnyDesk.
Source : CrowdStrike (résultat de la recherche AnyDesk)
Lorsque les visiteurs cliquent sur la fausse annonce, ils sont redirigés vers une page d’ingénierie sociale qui est un clone du site Web officiel d’AnyDesk, ainsi qu’un lien vers l’installateur trojanisé.
Source : CrowdStrike (Clone du site Web AnyDesk)
Selon les chercheurs, les pirates ont payé environ 1,75 $ par clic.
Selon CrowdStrike, 40% des clics sur l’annonce malveillante ont abouti à l’installation du logiciel malveillant AnyDesk, 20% de ces installations comprenant une action manuelle au clavier.
Bien que l’on ne sache pas quel pourcentage de recherches Google pour AnyDesk a entraîné des clics sur les annonces, un taux d’installation de 40% des chevaux de Troie à partir d’un clic sur une annonce montre qu’il s’agit d’une méthode extrêmement efficace pour accéder à distance à un large éventail de cibles potentielles, selon des chercheurs en sécurité..
La société a également déclaré qu’elle avait informé Google de ses conclusions et que Google avait pris des mesures rapides pour supprimer l’annonce incriminée.
Oubliez DARK WEB. Telegram est le nouveau marché des activités illégales et de la cybercriminalité
Vous pourriez aussi aimer : Le gouvernement japonais subit une violation de données après le piratage de Fujitsu
Vous pourriez aussi aimer : Les cybercriminels utilisent de fausses fondations pour cibler la minorité ouïghoure
Vous pourriez aussi aimer : Le groupe de piratage iranien Agrius lance un logiciel malveillant d’effacement de données