Criminosos usam GoogleAds para divulgar link para aplicativo AnyDesk infectado
Campanhas de anúncios maliciosos conseguiram uma classificação mais alta nas pesquisas do que os anúncios legítimos da AnyDesk.
Uma versão falsa do popular aplicativo de desktop remoto AnyDesk, enviada por meio de anúncios que aparecem nos resultados de pesquisa do Google, exibiu uma versão trojanizada do programa. A campanha até superou a própria campanha publicitária da AnyDesk no Google – com uma classificação mais elevada em seus resultados pagos.
A campanha, ativa desde 22 de abril, é notável porque os criminosos por trás do anúncio malicioso conseguiram evitar o policiamento de triagem anti-malvertising do Google. Como resultado, os pesquisadores com a estimativa de Crowdstrike, 40 por cento daqueles que clicaram no anúncio começaram a instalação do malware. Vinte por cento dessas instalações incluíram “atividade prática de teclado” por criminosos do sistema da vítima, de acordo com um relatório sobre o incidente publicado na quarta-feira.
Os pesquisadores disseram que as vítimas que baixaram o programa foram induzidas a executar um binário chamado AnyDeskSetup.exe. Depois de executado, o malware tentou iniciar um script do PowerShell. Os pesquisadores explicaram que primeiro, “observaram um arquivo suspeito disfarçado de AnyDesk … No entanto, este não era o aplicativo AnyDesk Remote Desktop legítimo – em vez disso, foi transformado em arma com recursos adicionais”.
O arquivo executável falso foi assinado por “Digital IT Consultants Plus Inc”, em vez dos criadores legítimos “philandro Software GmbH”.
“Após a execução, um implante PowerShell foi gravado em% TEMP / v.ps1 e executado com uma opção de linha de comando de“ -W 1 ″ para ocultar a janela do PowerShell. ” Os pesquisadores observaram que o PowerShell usado por criminosos é semelhante a um script entregue por hackers por trás de um instalador Zoom malicioso encontrado em abril.
“A lógica que observamos é muito semelhante à lógica observada e publicada pela Inde, onde um instalador mascarado do Zoom descartou um script PowerShell semelhante de um recurso externo”, escreveram os pesquisadores.
Obras de Malvertising
Os pesquisadores estimam que os invasores gastam cerca de US $ 1,75 por clique.
“Embora não se saiba qual porcentagem das pesquisas do Google por AnyDesk resultaram em cliques no anúncio, uma taxa de instalação de cavalo de Tróia de 40% a partir de um clique no anúncio mostra que esse é um método extremamente bem-sucedido de obter acesso remoto em uma ampla gama de alvos em potencial.”
Crowdstrike notificou os clientes afetados e alertou o Google sobre o abuso de anúncios.
“Parece que o Google rapidamente tomou as medidas adequadas, porque no momento deste blog, o anúncio não estava mais sendo veiculado”, observou o relatório.
Plataformas de anúncios voltadas para os usuários
Joseph Neumann, um consultor executivo cibernético da Coalfire, disse que o Google precisa assumir mais responsabilidade quando se trata de policiar sua própria rede de anúncios.
“Empresas como o Google precisam desenvolver melhores medidas de triagem para organizações legítimas versus cibercriminosos”, disse Neumann ao Threatpost. “Isso provavelmente será contraproducente para seu modelo de negócios atual.”
De acordo com o Google, ele depende de uma combinação de humanos e ferramentas automatizadas para bloquear anúncios abusivos. “O Google trabalha ativamente com anunciantes e parceiros confiáveis para ajudar a prevenir malware em anúncios”, descreve. “A tecnologia proprietária do Google e as ferramentas de detecção de malware são usadas para verificar regularmente todos os criativos.”
Apesar dos esforços do Google para mitigar o malvertising em sua rede de anúncios, alguns especialistas acreditam que o gigante da publicidade e outros precisam ir mais longe.
Jennifer Geisler, diretora de marketing da Vectra AI, disse à Threatpost que ela acredita que a pressão começará a aumentar nessas plataformas para fazer mais para impedir que os cibercriminosos usem suas ferramentas.
“Assim como a SolarWinds está sendo chamada por uma violação de sua plataforma, pode ser hora de aplicar a mesma governança a outras plataformas, como publicidade, quando os invasores contornam o sistema para violar os usuários finais”, disse ela.
Fonte: https://threatpost.com/
