Gezielte AnyDesk-Werbung auf Google serviert Weaponized App

Cyber Security News

Eine bösartige Anzeigenkampagne konnte in der Suche höher ranken als legitime AnyDesk-Anzeigen.

Eine gefälschte Version der beliebten Remote-Desktop-Anwendung AnyDesk, die über Anzeigen in den Google-Suchergebnissen verbreitet wurde, lieferte eine trojanisierte Version des Programms. Die Kampagne übertraf sogar die eigene Anzeigenkampagne von AnyDesk bei Google – sie rangierte in den bezahlten Ergebnissen höher.

Die Kampagne, die seit dem 22. April aktiv ist, ist bemerkenswert, weil die Kriminellen hinter der bösartigen Display es geschafft haben, Googles Anti-Malvertising-Screening zu umgehen. Infolgedessen schätzten Forscher von Crowdstrike, dass 40 Prozent derjenigen, die auf die Display klickten, die Installation der Malware begannen. Zwanzig Prozent dieser Installationen beinhalteten “nachfolgende Hands-on-Keyboard-Aktivitäten” der Kriminellen auf dem System des Opfers, so ein am Mittwoch veröffentlichter Bericht über den Vorfall.

Die Forscher sagen, dass Opfer, die das Programm heruntergeladen haben, dazu verleitet wurden, eine Binärdatei namens AnyDeskSetup.exe auszuführen. Einmal ausgeführt, versuchte die Malware, ein PowerShell-Skript zu starten.
Die Forscher erklärten, dass sie zunächst “eine verdächtige Datei beobachteten, die sich als AnyDesk ausgab… Es handelte sich jedoch nicht um die legitime AnyDesk-Remote-Desktop-Anwendung – vielmehr war sie mit zusätzlichen Funktionen ausgestattet.”

Die gefälschte ausführbare Datei war von “Digital IT Consultants Plus Inc” signiert, anstatt von den legitimen Erstellern “philandro Software GmbH”.

“Bei der Ausführung wurde ein PowerShell-Implantat in %TEMP/v.ps1 geschrieben und mit dem Befehlszeilenschalter “-W 1″ ausgeführt, um das PowerShell-Fenster zu verbergen.” Die Forscher stellten fest, dass die von den Kriminellen verwendete PowerShell einem Skript ähnelt, das von den Hackern hinter einem bösartigen a Zoom-Installer, der im April gefunden wurde, bereitgestellt wurde.

“Die von uns beobachtete Logik ist der von Inde beobachteten und veröffentlichten Logik sehr ähnlich, bei der ein maskierter Zoom-Installer ein ähnliches PowerShell-Skript von einer externen Ressource ablegte”, schrieben die Forscher.

Malvertising funktioniert

Die Forscher schätzen, dass die Angreifer etwa 1,75 Dollar pro Klick ausgegeben haben.

“Es ist zwar nicht bekannt, wie viel Prozent der Google-Suchen nach AnyDesk zu Klicks auf die Display führten, aber eine 40-prozentige Installationsrate des Trojaners durch einen Anzeigenklick zeigt, dass dies eine äußerst erfolgreiche Methode ist, um Fernzugriff auf ein breites Spektrum potenzieller Ziele zu erlangen.”

Crowdstrike hat betroffene Kunden benachrichtigt und Google auf den Anzeigenmissbrauch aufmerksam gemacht.

“Es scheint, dass Google umgehend entsprechende Maßnahmen ergriffen hat, denn zum Zeitpunkt dieses Blogs wurde die Display nicht mehr geschaltet”, heißt es in dem Bericht.

Werbeplattformen gegen Nutzer gewendet

Joseph Neumann, ein Cyber Executive Advisor bei Coalfire, sagte, dass Google mehr Verantwortung übernehmen muss, wenn es darum geht, sein eigenes Werbenetzwerk zu überwachen.

“Unternehmen wie Google müssen bessere Screening-Maßnahmen für legitime Organisationen gegenüber Cyberkriminellen entwickeln”, so Neumann gegenüber Threatpost. “Dies ist höchstwahrscheinlich kontraproduktiv für ihr aktuelles Geschäftsmodell.”

Google verlässt sich nach eigenen Angaben auf eine Kombination aus Menschen und automatisierten Tools, um missbräuchliche Anzeigen zu blockieren. “Google arbeitet aktiv mit vertrauenswürdigen Anzeigenkunden und Partnern zusammen, um Malware in Anzeigen zu verhindern”, heißt es. “Googles eigene Technologie und Malware-Erkennungstools werden verwendet, um alle Werbemittel regelmäßig zu scannen.”

Trotz Googles Bemühungen, Malvertising in seinem Werbenetzwerk einzudämmen, sind einige Experten der Meinung, dass der Werbegigant und andere Unternehmen noch weiter gehen müssen.

Jennifer Geisler, Chief Marketing Officer bei Vectra AI, sagte gegenüber Threatpost, dass sie glaubt, dass der Druck auf diese Plattformen zunehmen wird, mehr zu tun, um Cyberkriminelle von der Nutzung ihrer Tools abzuhalten.

“So wie SolarWinds für eine Verletzung seiner Plattform herausgefordert wird, könnte es an der Zeit sein, die gleiche Governance auf andere Plattformen anzuwenden, wie z. B. Werbung, wenn Angreifer das System umgehen, um Endnutzer zu verletzen”, sagte sie.

Schließen Sie sich Threatpost für “A Walk On The Dark Side: A Pipeline Cyber Crisis Simulation”- eine interaktive LIVE-Demo am Mi, 9. Juni um 2:00 PM EDT. Finden Sie mit Unterstützung von Immersive Labs heraus, ob Sie über die nötigen Werkzeuge und Fähigkeiten verfügen, um einen Angriff auf Ihr Unternehmen im Stil der Colonial Pipeline zu verhindern. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com