Los piratas informáticos introducen una versión falsa de una aplicación de escritorio remoto de AnyDesk a través de los resultados de búsqueda de Google. La aplicación falsa contiene un troyano que forma parte de una nueva campaña diseñada para controlar la computadora de la víctima.
Investigadores de CrowdStrike vio el malware por primera vez el mes pasado. Los investigadores dijeron que el archivo sospechoso disfrazado de AnyDesk llamado «AnyDeskSetup.exe» se escribió en el disco y muestra un comportamiento sospechoso.
El ejecutable no era una versión legítima, pero había sido armado con capacidades adicionales. Para evitar la detección de seguridad de anuncios de Google, el malware intentó iniciar un script de PowerShell que se renombró como rexc.exe para evitar la detección.
Los investigadores analizaron el proceso y encontraron «AnydeskSetup.exe» ejecutándose en el directorio de Descargas del usuario. Dijeron que esta no es la versión normal de la aplicación, ya que fue firmada por Digital IT Consultants Plus Inc. en lugar de los creadores de AnyDesk, philandro Software GmbH. La actividad de red generada por la aplicación fue a un dominio (anydeskstat[.]com) registrado el 9 de abril de 2021 y alojado en una dirección IP rusa.
Cuando se ejecutó, un implante de PowerShell se escribió en% TEMP / v.ps1 y se ejecutó con un modificador de línea de comando «-W 1» para ocultar la ventana de PowerShell. En este punto, los investigadores iniciaron una investigación exhaustiva y descubrieron que el script de PowerShell utilizado por los piratas informáticos era similar a otra pieza de malware oculta como un instalador de Zoom en abril.
«La lógica que observé es muy similar a la lógica observada y publicado por India«Si un instalador de Zoom enmascarado escapaba de un script de PowerShell similar de un recurso externo», dijeron los investigadores.
El anuncio en sí mismo envía a las víctimas a un clon de URL del sitio legítimo de AnyDesk y proporciona un enlace de descarga para el instalador del troyano. Los investigadores encontraron tres sitios intermedios utilizados en esta campaña.
Los investigadores dijeron que los piratas informáticos gastan 1,75 dólares por clic, pero eso no equivale a poner un caparazón en un objetivo que les interesa.
«Aunque no se sabe qué porcentaje de búsquedas de Google en AnyDesk generó clics en anuncios, una tasa de instalación de troyanos del 40% de un clic en un anuncio muestra que esta es una forma extremadamente exitosa de obtener acceso remoto en una amplia gama de objetivos potenciales». dijeron los investigadores.
Los investigadores notificaron a los clientes y alertaron a Google sobre la campaña publicitaria. «Parece que Google rápidamente tomó los pasos correctos, porque en el momento de este blog, el anuncio ya no se estaba publicando», dijeron los investigadores.
