著名的远程桌面应用程序AnyDesk在谷歌搜索结果中的广告中提供了该程序的一个恶意版本。该恶意版本的搜索排名甚至超过了合法的AnyDesk在谷歌上的广告排名。
该攻击活动自4月22日以来就一直很猖獗,值得注意的是,推送恶意广告的犯罪分子会设法避开谷歌的反恶意广告筛选监控。因此,Crowdstrike的研究人员估计,有40%的点击广告的用户已经安装了恶意软件。根据周三发表的一份关于该事件的报告,其中有20%的受害者可以使得犯罪分子对操作系统进行后续的操作。
研究人员说,下载该程序的用户会被引导执行一个名为AnyDeskSetup.exe的二进制文件。一旦执行,该恶意软件就会启动一个PowerShell脚本。
研究人员解释说,他们首先观察到了一个伪装成AnyDesk的可疑文件......然而,这并不是合法的AnyDesk远程桌面应用程序。相反,它还有其他的一些恶意功能。
这个恶意的可执行文件是由 "Digital IT Consultants Plus Inc "签署的,而不是合法的创建者 "philandro Software GmbH"。
该程序执行时,%TEMP%目录下会被写入一个PowerShell脚本,并在命令行中使用参数"-W 1″,这样可以隐藏PowerShell窗口。 研究人员指出,犯罪分子使用的PowerShell脚本与4月份发现的一个恶意的Zoom安装程序背后的黑客所使用的脚本相似。
研究人员写道:"我们发现此次的攻击逻辑与Inde发现的攻击逻辑非常相似,都是由一个伪装的安装程序从外部资源中投放了一个PowerShell攻击脚本"。
恶意广告的作用
研究人员估计用户每次点击大约会消耗犯罪分子1.75美元。
虽然我们不知道谷歌搜索AnyDesk导致点击广告的比例是多少,但广告点击所带来的40%的木马安装率表明,这是一种在大量的潜在的目标中获得远程访问权限的非常成功的方法。
Crowdstrike通知了受影响的客户,并提醒谷歌注意广告滥用问题。
报告指出:"看来谷歌已经迅速采取了行动,因为在撰写本博客时,搜索引擎已不再提供该广告了。”
广告平台与用户互相对立
Coalfire公司的网络执行顾问Joseph Neumann说,当涉及到监督网络广告内容时,谷歌需要承担更多的责任。
诺伊曼告诉Threatpost:"像谷歌这样的公司需要为用户制定更好的内容筛选措施。否则安全事故很可能会对他们目前的商业模式产生很大的影响。"
根据谷歌的说法,它会使用人工和自动工具组合的方式一起来审查内容,防止广告的滥用。它描述道:"谷歌正在积极与受信任的广告商和合作伙伴合作,防止广告中出现恶意软件,我们会使用谷歌的专有技术和恶意软件检测工具来定期扫描广告。"
尽管谷歌在努力减少网络上的恶意广告的数量,一些专家认为广告巨头和其他公司还有很多要做。
Vectra AI的首席营销官Jennifer Geisler告诉Threatpost,她认为这些平台需要承担更多的社会责任,采取更多措施阻止网络犯罪分子进行攻击。
她说:"正如SolarWinds因其平台被破坏而被叫停一样,当攻击者绕过系统侵犯终端用户时,那么是时候要对其他平台实施同样的治理方式了。”
本文翻译自:https://threatpost.com/ad-malicious-version-anydesk/166525/如若转载,请注明原文地址