IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Installer

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

کمپین تروجان نصب نرم افزار AnyDesk از طریق گوگل

 

محققان امنیت سایبری روز چهارشنبه یک شبکه بدافزاری هوشمند ایجاد اختلال که با هدف قرار دادن AnyDesk و از طریق تبلیغات گسترده گوگل که در صفحات نتایج این موتور جستجو برای نصب نرم افزار دسکتاپی کنترل از راه دور AnyDesk ظاهر میشده است، را اعلان عمومی کرده اند.

takian.ir malvertising campaign on google distributed trojanized anydesk installer 1

این کمپین که تصور می شود از اوایل 21 ماه آوریل 2021 آغاز شده، شامل یک فایل مخرب است که به عنوان فایل نصبی قابل اجرا برای AnyDesk (AnyDeskSetup.exe) ظاهر می شود؛ و پس از اجرا، شروع به بارگیری و دانلود  PowerShell برای جمع آوری و استخراج اطلاعات سیستم می کند.

محققان کروداسترایک در تحیلی گفته اند: "این اسکریپت دارای برخی مبهم سازی ها و عملکردهای متعدد بود که به مانند یک ایمپلنت، همچنین یک دامنه با کدگذاری قوی (zoomstatistic[.]com) به اطلاعات شناسایی "POST" مانند نام کاربر، نام میزبان، سیستم عامل، آدرس IP  و نام پروسس در حال اجرا را گردآوری میکند".

بر اساس وب سایت این شرکت، نرم افزار دسترسی از راه دور دسکتاپ AnyDesk توسط بیش از 300 میلیون کاربر در سراسر جهان بارگیری شده است. اگرچه شرکت امنیت سایبری، این فعالیت سایبری را به یک عامل تهدیدی یا شبکه ای خاص نسبت نمی دهد، اما با توجه به پایگاه و حجم گسترده کاربران، گمان می رود این یک کارزار بزرگ موثر طیف گسترده ای از مشتریان باشد که میتوانند قربانی این حمله شوند.

takian.ir malvertising campaign on google distributed trojanized anydesk installer 2

 

اسکریپت PowerShell ممکن است تمام ویژگی های یک بک دور (BackDoor) معمولی را داشته باشد، اما این مسیر نفوذ غیرمجاز که حمله یک curve ایجاد میکند و نشان می دهد که فراتر از یک عملیات جمع آوری داده از نوع ساده نرم افزاری است. نصب کننده AnyDesk از طریق تبلیغات مخرب گوگل توسط عامل مهاجم توزیع می شود و متعاقبا به افراد ناآگاه از این مخاطرات که از گوگل برای یافتن و دریافت فایل نصبی AnyDesk استفاده می کنند، ارائه میگردد.

با کلیک بر روی تبلیغات جعلی، نتیجه آن کاربران را به صفحه مهندسی اجتماعی که یک کلون از وب سایت قانونی AnyDesk است هدایت می کند که علاوه بر این، به مخاطب لینک نصب کننده تروجان را می دهد.

کروداسترایک تخمین می زند که 40% کلیک ها روی تبلیغات مخرب تبدیل به نصب باینری AnyDesk شده است و 20% از این نصب ها منتج به جمع آوری اطلاعات ورودی کیبرد دستگاه ها شده است. محققان اعلام کردند: "در حالی که مشخص نیست چند درصد جستجوی گوگل برای AnyDesk، منجر به کلیک بر روی این تبلیغات شده است، اما نرخ نصب Trojan حاصل از کلیک تبلیغات، عدد 40% را نشان می دهد. این مسئله نشان از این دارد که این روش برای دستیابی از راه دور به طیف گسترده ای از اهداف بالقوه، بسیار موفق بوده است".

این شرکت همچنین گفت كه یافته های خود را به کمپانی گوگل اعلام كرده است و گفته می شود بلافاصله برای حذف تبلیغات مورد نظر اقدام شده است.

محققان در نتیجه گیری، اعلام کرده اند: "این استفاده مخرب از تبلیغات گوگل، یک روش موثر و هوشمندانه برای به کارگیری گسترده شل ها است، زیرا به عامل تهدید توانایی انتخاب آزادانه هدف (های) مورد علاقه خود را می دهد".

آنها افزودند: "به دلیل ماهیت بستر تبلیغاتی گوگل، می توان برآورد خوبی از تعداد کلیک افراد روی آگهی ارائه داد. از این رو، عامل تهدید یا مهاجم می تواند براساس این اطلاعات، برنامه ریزی و توان کافی را به این کار تخصیص دهد. علاوه بر ابزارهای هدف قرار دادن کاربران تاآگاه مانند AnyDesk یا سایر ابزارهای اداری و سازمانی، عامل تهدید می تواند کاربران رده بالا و مدیران را به روشی منحصر به فرد هدف قرار دهد".