idNSA.id - Peneliti cybersecurity mempublikasikan gangguan jaringan malvertising "clever" yang menargetkan AnyDesk untuk mengirimkan software installer remote desktop yang dipersenjatai melalui iklan Google yang muncul di halaman hasil search engine.
Iklan yang diyakini telah dimulai pada 21 April 2021, melibatkan file berbahaya yang menyamar sebagai setup yang dapat dieksekusi untuk AnyDesk (AnyDeskSetup.exe), yang setelah dieksekusi, mengunduh implan PowerShell untuk mengumpulkan dan mengekstrak informasi sistem .
"Skrip memiliki beberapa obfuscation dan beberapa fungsi yang menyerupai implan serta domain hardcode (zoomstatistic [.] Com) untuk informasi pengintaian 'POST' seperti nama pengguna, nama host, sistem operasi, alamat IP dan nama proses saat ini, "peneliti dari Crowdstrike mengatakan dalam sebuah analisis.
Solusi akses remote desktop AnyDesk telah diunduh oleh lebih dari 300 juta pengguna di seluruh dunia, menurut situs web perusahaan. Meskipun perusahaan keamanan siber tidak mengaitkan aktivitas dunia maya dengan pelaku atau penghubung ancaman tertentu, perusahaan menduga hal itu merupakan "kampanye luas yang memengaruhi berbagai pelanggan" mengingat basis pengguna yang besar.
Skrip PowerShell mungkin memiliki semua ciri khas backdoor, tetapi ini adalah rute penyusupan di mana serangan itu melengkung, menandakan bahwa itu di luar operasi pengumpulan garden-variety data — installer AnyDesk didistribusikan melalui iklan Google berbahaya yang ditempatkan oleh ancaman aktor, yang kemudian disajikan kepada orang-orang yang tidak menaruh curiga yang menggunakan Google untuk mencari 'AnyDesk.'
Hasil iklan penipuan, ketika diklik, mengarahkan pengguna ke halaman manipulasi psikologis yang merupakan tiruan dari situs web AnyDesk yang sah, selain memberikan tautan ke penginstal yang di-trojan.
CrowdStrike memperkirakan bahwa 40% dari klik pada iklan berbahaya berubah menjadi instalasi biner AnyDesk, dan 20% dari instalasi tersebut termasuk aktivitas hands-on-keyboard lanjutan. "Meskipun tidak diketahui persentase penelusuran Google untuk AnyDesk yang menghasilkan klik pada iklan, tingkat penginstalan Trojan 40% dari klik iklan menunjukkan bahwa ini adalah metode yang sangat berhasil untuk mendapatkan akses jarak jauh di berbagai target potensial," kata para peneliti.
Perusahaan juga mengatakan telah memberi tahu Google tentang temuannya, yang dikatakan telah mengambil tindakan segera untuk menarik iklan tersebut.
"Penggunaan Google Ads yang berbahaya ini adalah cara yang efektif dan cerdas untuk menyebarkan shell secara massal, karena memberikan kemampuan kepada pelaku ancaman untuk secara bebas memilih dan memilih target yang mereka minati," para peneliti menyimpulkan.
"Karena sifat platform periklanan Google, ini dapat memberikan perkiraan yang sangat baik tentang berapa banyak orang yang akan mengklik iklan. Dari situ, pelaku ancaman dapat merencanakan dan menganggarkan secara memadai berdasarkan informasi ini. Selain alat penargetan seperti AnyDesk atau alat administratif lainnya, pelaku ancaman dapat menargetkan pengguna istimewa/administratif dengan cara yang unik."
