著名的遠(yuǎn)程桌面應(yīng)用程序AnyDesk在谷歌搜索結(jié)果中的廣告中提供了該程序的一個(gè)惡意版本,。該惡意版本的搜索排名甚至超過了合法的AnyDesk在谷歌上的廣告排名。
該攻擊活動(dòng)自4月22日以來就一直很猖獗,,值得注意的是,,推送惡意廣告的犯罪分子會設(shè)法避開谷歌的反惡意廣告篩選監(jiān)控。因此,,Crowdstrike的研究人員估計(jì),,有40%的點(diǎn)擊廣告的用戶已經(jīng)安裝了惡意軟件。根據(jù)周三發(fā)表的一份關(guān)于該事件的報(bào)告,,其中有20%的受害者可以使得犯罪分子對操作系統(tǒng)進(jìn)行后續(xù)的操作,。
研究人員說,下載該程序的用戶會被引導(dǎo)執(zhí)行一個(gè)名為AnyDeskSetup.exe的二進(jìn)制文件,。一旦執(zhí)行,,該惡意軟件就會啟動(dòng)一個(gè)PowerShell腳本。
研究人員解釋說,,他們首先觀察到了一個(gè)偽裝成AnyDesk的可疑文件……然而,,這并不是合法的AnyDesk遠(yuǎn)程桌面應(yīng)用程序。相反,,它還有其他的一些惡意功能,。
這個(gè)惡意的可執(zhí)行文件是由 “Digital IT Consultants Plus Inc ”簽署的,,而不是合法的創(chuàng)建者 “philandro Software GmbH”。
該程序執(zhí)行時(shí),,%TEMP%目錄下會被寫入一個(gè)PowerShell腳本,,并在命令行中使用參數(shù)“-W 1″,這樣可以隱藏PowerShell窗口,。研究人員指出,,犯罪分子使用的PowerShell腳本與4月份發(fā)現(xiàn)的一個(gè)惡意的Zoom安裝程序背后的黑客所使用的腳本相似,。
研究人員寫道:”我們發(fā)現(xiàn)此次的攻擊邏輯與Inde發(fā)現(xiàn)的攻擊邏輯非常相似,都是由一個(gè)偽裝的安裝程序從外部資源中投放了一個(gè)PowerShell攻擊腳本“,。
惡意廣告的作用
研究人員估計(jì)用戶每次點(diǎn)擊大約會消耗犯罪分子1.75美元,。
雖然我們不知道谷歌搜索AnyDesk導(dǎo)致點(diǎn)擊廣告的比例是多少,但廣告點(diǎn)擊所帶來的40%的木馬安裝率表明,,這是一種在大量的潛在的目標(biāo)中獲得遠(yuǎn)程訪問權(quán)限的非常成功的方法,。
Crowdstrike通知了受影響的客戶,并提醒谷歌注意廣告濫用問題,。
報(bào)告指出:看來谷歌已經(jīng)迅速采取了行動(dòng),,因?yàn)樵谧珜懕静┛蜁r(shí),搜索引擎已不再提供該廣告了,。
廣告平臺與用戶互相對立
Coalfire公司的網(wǎng)絡(luò)執(zhí)行顧問Joseph Neumann說,,當(dāng)涉及到監(jiān)督網(wǎng)絡(luò)廣告內(nèi)容時(shí),谷歌需要承擔(dān)更多的責(zé)任,。
諾伊曼告訴Threatpost:”像谷歌這樣的公司需要為用戶制定更好的內(nèi)容篩選措施,。否則安全事故很可能會對他們目前的商業(yè)模式產(chǎn)生很大的影響,?!?/p>
根據(jù)谷歌的說法,它會使用人工和自動(dòng)工具組合的方式一起來審查內(nèi)容,,防止廣告的濫用,。它描述道:”谷歌正在積極與受信任的廣告商和合作伙伴合作,防止廣告中出現(xiàn)惡意軟件,,我們會使用谷歌的專有技術(shù)和惡意軟件檢測工具來定期掃描廣告,。“
盡管谷歌在努力減少網(wǎng)絡(luò)上的惡意廣告的數(shù)量,,一些專家認(rèn)為廣告巨頭和其他公司還有很多要做,。
Vectra AI的首席營銷官Jennifer Geisler告訴Threatpost,她認(rèn)為這些平臺需要承擔(dān)更多的社會責(zé)任,,采取更多措施阻止網(wǎng)絡(luò)犯罪分子進(jìn)行攻擊,。
她說:”正如SolarWinds因其平臺被破壞而被叫停一樣,當(dāng)攻擊者繞過系統(tǒng)侵犯終端用戶時(shí),,那么是時(shí)候要對其他平臺實(shí)施同樣的治理方式了,。“