El famoso programa de AnyDesk ha sido utilizado para armar una campaña maliciosa en que el instalador se distribuye a través de anuncios maliciosos de Google.
La campaña, que se estima empezó el 21 de abril de este año, es exitosa si personas desprevenidas que están usando Google buscan ‘AnyDesk’ y no se percatan que el anuncio no es de la página oficial. La página maliciosa es un clon del sitio web legítimo de AnyDesk y de este modo la víctima se descarga un instalador bajo nombre AnyDeskSetup.exe, que al ejecutarse, descarga un PowerShell para acumular y exfiltrar información del sistema.
Este uso malintencionado de Google Ads es una forma eficaz e inteligente de lograr un despliegue masivo de shells, ya que brinda al actor de amenazas la capacidad de elegir libremente sus objetivos de interés.
«El script tenía algo de ofuscación y múltiples funciones que implantan un dominio codificado (zoomstatistic[.]com) que realiza un «POST» con información de reconocimiento como nombre de usuario, nombre de host, sistema operativo, dirección IP y el nombre del proceso actual. Además del dominio codificado, el script también tenía una cadena de agente de usuario y un URI específicos para conectarse».
Crowdstrike
Dada la popularidad de AnyDesk, se cree que esta campaña fue general y que afectó a una amplia gama de clientes. Google rápidamente tomó las medidas adecuadas, y al momento el anuncio malintencionado ya no se estaba publicando.
Se recomienda verificar siempre la fuente de instalación de programas en sus páginas oficiales. En el caso de que esté permitido el uso de AnyDesk en su compañía, se recomienda realizar un monitoreo de las conexiones que involucren los indicadores de compromiso de esta campaña que pueden ser encontrados en la investigación realizada por Crowdstrike publicada en su blog.
Más información: