Malvertising-Kampagne auf Google verteilt trojanisierten AnyDesk-Installer

Cyber Security News

Cybersecurity-Forscher veröffentlichten am Mittwoch die Unterbrechung eines “cleveren” Malvertising-Netzwerks, das auf AnyDesk abzielte und einen waffenfähigen Installer der Remote-Desktop-Software über gefälschte Google-Anzeigen in den Ergebnisseiten der Suchmaschine lieferte.

Die Kampagne, die vermutlich bereits am 21. April 2021 begann, beinhaltet eine bösartige Datei, die sich als ausführbare Setup-Datei für AnyDesk (AnyDeskSetup.exe) tarnt, die bei der Ausführung ein PowerShell-Implantat herunterlädt, um Systeminformationen zu sammeln und zu exfiltrieren.

“Das Skript hatte eine gewisse Verschleierung und mehrere Funktionen, die einem Implantat ähnelten, sowie eine hartkodierte Domain (zoomstatistic[.]com), um Aufklärungsinformationen wie Benutzername, Hostname, Betriebssystem, IP-Adresse und den aktuellen Prozessnamen zu ‘posten'”, so die Forscher von Crowdstrike in einer Analyse.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Die Remote-Desktop-Access-Lösung von AnyDesk wurde laut der Website des Unternehmens von mehr als 300 Millionen Nutzern weltweit heruntergeladen. Obwohl die Cybersecurity-Firma die Cyber-Aktivitäten nicht einem bestimmten Bedrohungsakteur oder Nexus zuordnete, vermutete sie, dass es sich angesichts der großen Nutzerbasis um eine “weit verbreitete Kampagne handelt, die eine breite Palette von Kunden betrifft”.

[Blocked Image: https://thehackernews.com/images/-B6m0XuTkVqA/YK-rFUpL_aI/AAAAAAAACqE/QiCfE-Stn9I8EN0RBsfnu3iVaBDW7B4vwCLcBGAsYHQ/s728-e1000/powershell.jpg]

Das PowerShell-Skript mag alle Merkmale einer typischen Backdoor aufweisen, aber es ist die Einbruchsroute, bei der der Angriff die Kurve kriegt und signalisiert, dass es sich nicht nur um eine gewöhnliche Datensammelaktion handelt – das AnyDesk-Installationsprogramm wird über bösartige Google-Anzeigen verbreitet, die vom Bedrohungsakteur platziert werden und die dann an ahnungslose Personen gesendet werden, die mit Google nach “AnyDesk” suchen.

Das Ergebnis der betrügerischen Display leitet die Benutzer nach dem Anklicken auf eine Social-Engineering-Seite um, die ein Klon der legitimen AnyDesk-Website ist und der Person zusätzlich einen Link zum trojanischen Installationsprogramm liefert.

CrowdStrike schätzt, dass 40 % der Klicks auf die bösartige Display zu Installationen der AnyDesk-Binärdatei führten, und 20 % dieser Installationen beinhalteten nachfolgende Aktivitäten auf der Tastatur. “Es ist zwar nicht bekannt, wie viel Prozent der Google-Suchen nach AnyDesk zu Klicks auf die Display führten, aber eine 40-prozentige Installationsrate des Trojaners nach einem Klick auf die Display zeigt, dass dies eine äußerst erfolgreiche Methode ist, um Fernzugriff auf ein breites Spektrum potenzieller Ziele zu erlangen”, so die Forscher.

Das Unternehmen teilte auch mit, dass es Google über seine Erkenntnisse informiert hat, das angeblich sofort Maßnahmen ergriffen hat, um die fragliche Display zurückzuziehen.

“Diese böswillige Nutzung von Google Ads ist ein effektiver und cleverer Weg, um einen massenhaften Einsatz von Shells zu erreichen, da sie dem Bedrohungsakteur die Möglichkeit bietet, seine Ziele frei auszuwählen”, so die Schlussfolgerung der Forscher.

“Aufgrund der Beschaffenheit der Google-Werbeplattform kann diese eine wirklich gute Schätzung darüber abgeben, wie viele Personen auf die Display klicken werden. Auf der Grundlage dieser Informationen kann der Bedrohungsakteur entsprechend planen und budgetieren. Zusätzlich zu Targeting-Tools wie AnyDesk oder anderen administrativen Tools kann der Bedrohungsakteur privilegierte/administrative Benutzer auf einzigartige Weise ansprechen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com