谷歌分布式特洛伊木马AnyDesk安装程序上的恶意攻击活动

网络安全研究人员周三公布了一个针对AnyDesk的“聪明”恶意网络被破坏的消息，该网络通过出现在搜索引擎结果页面上的恶意谷歌广告提供了远程桌面软件的武器化安装程序。

据信，早在2021年4月21日就开始了这项活动，它涉及一个恶意文件，它伪装成AnyDesk（AyDeStudio.exe）的可执行程序，在执行时，下载一个PuxBew植入物来收集和过滤系统信息。

“这个脚本有一些混淆和多种功能，类似于植入物和硬编码域（zoomstatistic[。]Crowdstrike的研究人员在一份分析报告中说，“发布”诸如用户名、主机名、操作系统、IP地址和当前进程名等侦察信息。”。

根据AnyDesk的网站，全世界已有超过3亿用户下载了该公司的远程桌面访问解决方案。尽管这家网络安全公司没有将网络活动归因于特定的威胁行为人或关系，但考虑到庞大的用户群，它怀疑这是一场“影响广泛客户的广泛活动”。

PowerShell脚本可能具有典型后门的所有特征，但它是攻击抛出曲线的入侵路径，表明它超出了各种各样的数据收集操作—；AnyDesk安装程序是通过威胁行为人放置的恶意谷歌广告分发的，然后这些广告被提供给使用谷歌搜索“AnyDesk”的毫无戒备的人

点击欺诈性广告结果时，用户会重定向到一个社交工程页面，该页面是合法AnyDesk网站的克隆，此外还会向用户提供一个指向特洛伊木马安装程序的链接。

CrowdStrike估计，40%的恶意广告点击变成了AnyDesk二进制软件的安装，其中20%的安装包括后续的手动键盘活动。研究人员说：“虽然目前尚不清楚谷歌对AnyDesk的搜索中有多大比例的人点击了广告，但广告点击中40%的特洛伊木马安装率表明，这是一种非常成功的方法，可以在广泛的潜在目标上远程访问。”。

该公司还表示，它已将调查结果通知了谷歌，据说谷歌已立即采取行动取消该广告。

研究人员总结道：“恶意使用谷歌广告是大规模部署炮弹的一种有效而聪明的方式，因为它使威胁行为人能够自由选择他们感兴趣的目标。”。

“由于谷歌广告平台的性质，它可以很好地估计有多少人会点击广告。从中，威胁行为人可以根据这些信息进行充分的计划和预算。除了针对AnyDesk或其他管理工具等工具外，威胁行为人还可以针对特权/管理以独特的方式吸引用户。"