著名的远程桌面应用程序AnyDesk在Google搜索结果的广告中提供了该程序的恶意版本。恶意版本甚至在Google的搜索排名中超过了合法的AnyDesk。该活动自4月22日以来一直很猖獗,值得注意的是,推动恶意广告的犯罪分子试图逃避谷歌的反恶意广告筛查。因此,Crowdstrike研究人员估计,点击广告的用户中有40%已经安装了该恶意软件。根据周三发布的事件报告,20%的受害者能够允许犯罪分子在操作系统上采取后续行动。研究人员表示,下载该程序的用户会被引导执行名为AnyDeskSetup.exe的二进制文件。执行后,恶意软件会启动PowerShell脚本。研究人员解释说,他们首先观察到一个伪装成AnyDesk的可疑文件……然而,它并不是合法的AnyDesk远程桌面应用程序。相反,它具有其他一些恶意功能。此恶意可执行文件由“DigitalITConsultantsPlusInc”而非合法创建者“philandroSoftwareGmbH”签署。程序执行时会在%TEMP%目录下写入一个PowerShell脚本,在命令行中使用参数“-W1”隐藏PowerShell窗口。研究人员指出,犯罪分子使用的PowerShell脚本与4月份发现的恶意Zoom安装程序背后的黑客使用的脚本相似。“我们发现这次的攻击逻辑与Inde发现的攻击逻辑非常相似,一个PowerShell攻击脚本是由一个伪装的安装程序从外部资源中删除的,”研究人员写道。恶意广告的作用研究人员估计,每次用户点击会让犯罪分子损失大约1.75美元。虽然我们不知道有多少百分比的Google搜索AnyDesk导致了广告点击,但与广告点击相关的40%木马安装率表明,这是在大量潜在目标中获得远程访问的非常成功的方法。Crowdstrike通知了受影响的客户并提醒谷歌注意广告滥用问题。报告指出:“看来谷歌已迅速采取行动,因为在撰写此博客时搜索引擎已不再提供该广告。广告平台与用户Coalfire网络执行顾问JosephNeumann表示,在监管在线广告内容方面,谷歌需要承担更多责任。更好的内容过滤措施。否则,安全事件很可能会对他们当前的业务模式产生很大的影响。“根据谷歌的说法,它使用人工和自动化工具的组合来审查内容并防止广告滥用。”它描述:“谷歌正积极与值得信赖的广告商和合作伙伴合作,以防止恶意广告软件,我们定期使用谷歌的专有技术和恶意软件检测工具扫描广告。”尽管谷歌努力减少网络上的恶意广告数量,但一些专家认为广告巨头和其他人还有更多工作要做。VectraAI的首席营销官JenniferGeisler告诉Threatpost,她认为这些平台需要更具社会责任感,采取更多措施来阻止网络犯罪分子的攻击。“就像SolarWinds因其平台受损而停止一样,当攻击者绕过系统危害最终用户时,就该对其他平台做同样的事情了,”她说。治道也。》本文翻译自:https://threatpost.com/ad-malicious-version-anydesk/166525/如有转载请注明出处。
