Uma versão falsa do aplicativo de desktop remoto AnyDesk contendo um cavalo de Troia (trojan) apareceu em meio aos anúncios dos resultados de pesquisa do Google. A empresa de segurança CrowdStrike descobriu que a campanha está ativa desde abril e aparentemente superou a própria propaganda oficial do AnyDesk no Google.
"O uso malicioso do Google Ads é uma maneira eficaz e inteligente de obter implantação em massa de shells, pois fornece ao agente da ameaça a capacidade de escolher livremente seus alvos de interesse", diz a empresa de segurança. "Além de direcionar ferramentas como AnyDesk ou outras ferramentas administrativas, o ator da ameaça pode direcionar usuários privilegiados/administrativos de uma maneira única".
Por esse motivo, a equipe CrowdStrike notificou o Google sobre a atividade observada para que tomassem medidas contra a campanha de malvertising – anúncio publicitário online geralmente usado para espalhar malware na Internet – e, aparentemente, o Google rapidamente tomou as medidas adequadas, já que o anúncio não está mais sendo veiculado, segundo a empresa.
Os criminosos por trás do anúncio malicioso conseguiram, antes de serem descobertos, evitar o policiamento de triagem anti-malvertising do Google. Como resultado, 40% daqueles que clicaram no anúncio começaram a instalar o malware, sendo que 20% dessas instalações incluíam “atividades práticas no teclado”, de acordo com o relatório publicado pela CrowdStrike.
Os pesquisadores dizem ainda que as vítimas que baixaram o programa foram induzidas a executar um binário chamado AnyDeskSetup.exe. Depois de executado, o malware tenta iniciar um script do PowerShell. O arquivo executável falso foi assinado por "Digital IT Consultants Plus Inc.", em vez dos criadores legítimos "philandro Software GmbH".
A CrowdStrike informa que sua equipe de inteligência continua investigando e, no momento, não atribui essa atividade a um agente de ameaça ou vínculo específico. No entanto, dada a popularidade do AnyDesk, essa pode ser uma campanha generalizada que afeta uma ampla gama de clientes.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.