linux工程师,RHCE
分类: 系统运维
2021-06-05 18:27:28
著名的远程桌面应用程序AnyDesk在谷歌搜索结果中的广告中提供了该程序的一个恶意版本。该攻击活动自4月22日以来就一直很猖獗,值得注意的是,推送恶意广告的犯罪分子会设法避开谷歌的反恶意广告筛选监控。
著名的远程桌面应用程序AnyDesk在谷歌搜索结果中的广告中提供了该程序的一个恶意版本。该恶意版本的搜索排名甚至超过了合法的AnyDesk在谷歌上的广告排名。
该攻击活动自4月22日以来就一直很猖獗,值得注意的是,推送恶意广告的犯罪分子会设法避开谷歌的反恶意广告筛选监控。因此,Crowdstrike的研究人员估计,有40%的点击广告的用户已经安装了恶意软件。根据周三发表的一份关于该事件的报告,其中有20%的受害者可以使得犯罪分子对操作系统进行后续的操作。
研究人员说,下载该程序的用户会被引导执行一个名为AnyDeskSetup.exe的二进制文件。一旦执行,该恶意软件就会启动一个PowerShell脚本。
研究人员解释说,他们首先观察到了一个伪装成AnyDesk的可疑文件......然而,这并不是合法的AnyDesk远程桌面应用程序。相反,它还有其他的一些恶意功能。
这个恶意的可执行文件是由 "Digital IT Consultants Plus Inc "签署的,而不是合法的创建者 "philandro Software GmbH"。
该程序执行时,%TEMP%目录下会被写入一个PowerShell脚本,并在命令行中使用参数"-W 1″,这样可以隐藏PowerShell窗口。 研究人员指出,犯罪分子使用的PowerShell脚本与4月份发现的一个恶意的Zoom安装程序背后的黑客所使用的脚本相似。
研究人员写道:"我们发现此次的攻击逻辑与Inde发现的攻击逻辑非常相似,都是由一个伪装的安装程序从外部资源中投放了一个PowerShell攻击脚本"。
研究人员估计用户每次点击大约会消耗犯罪分子1.75美元。
虽然我们不知道谷歌搜索AnyDesk导致点击广告的比例是多少,但广告点击所带来的40%的木马安装率表明,这是一种在大量的潜在的目标中获得远程访问权限的非常成功的方法。
Crowdstrike通知了受影响的客户,并提醒谷歌注意广告滥用问题。
Coalfire公司的网络执行顾问Joseph Neumann说,当涉及到监督网络广告内容时,谷歌需要承担更多的责任。
根据谷歌的说法,它会使用人工和自动工具组合的方式一起来审查内容,防止广告的滥用。它描述道:"谷歌正在积极与受信任的广告商和合作伙伴合作,防止广告中出现恶意软件,我们会使用谷歌的专有技术和恶意软件检测工具来定期扫描广告。"
尽管谷歌在努力减少网络上的恶意广告的数量,一些专家认为广告巨头和其他公司还有很多要做。
Vectra AI的首席营销官Jennifer Geisler告诉Threatpost,她认为这些平台需要承担更多的社会责任,采取更多措施阻止网络犯罪分子进行攻击。
本文翻译自:如若转载,请注明原文地址。《linux就该这么学》不错的linux自学书籍
