著名的遠程桌面應用程序AnyDesk在谷歌搜索結果中的廣告中提供了該程序的一個惡意版本。該惡意版本的搜索排名甚至超過了合法的AnyDesk在谷歌上的廣告排名。

　　該攻擊活動自4月22日以來就一直很猖獗，值得注意的是，推送惡意廣告的犯罪分子會設法避開谷歌的反惡意廣告篩選監(jiān)控。因此，Crowdstrike的研究人員估計，有40%的點擊廣告的用戶已經安裝了惡意軟件。根據(jù)周三發(fā)表的一份關于該事件的報告，其中有20%的受害者可以使得犯罪分子對操作系統(tǒng)進行后續(xù)的操作。

　　研究人員說，下載該程序的用戶會被引導執(zhí)行一個名為AnyDeskSetup.exe的二進制文件。一旦執(zhí)行，該惡意軟件就會啟動一個PowerShell腳本。

　　研究人員解釋說，他們首先觀察到了一個偽裝成AnyDesk的可疑文件……然而，這并不是合法的AnyDesk遠程桌面應用程序。相反，它還有其他的一些惡意功能。

　　這個惡意的可執(zhí)行文件是由 “Digital IT Consultants Plus Inc ”簽署的，而不是合法的創(chuàng)建者 “philandro Software GmbH”。

　　該程序執(zhí)行時，%TEMP%目錄下會被寫入一個PowerShell腳本，并在命令行中使用參數(shù)“-W 1″，這樣可以隱藏PowerShell窗口。研究人員指出，犯罪分子使用的PowerShell腳本與4月份發(fā)現(xiàn)的一個惡意的Zoom安裝程序背后的黑客所使用的腳本相似。

　　研究人員寫道：”我們發(fā)現(xiàn)此次的攻擊邏輯與Inde發(fā)現(xiàn)的攻擊邏輯非常相似，都是由一個偽裝的安裝程序從外部資源中投放了一個PowerShell攻擊腳本“。

　　惡意廣告的作用

　　研究人員估計用戶每次點擊大約會消耗犯罪分子1.75美元。

　　雖然我們不知道谷歌搜索AnyDesk導致點擊廣告的比例是多少，但廣告點擊所帶來的40%的木馬安裝率表明，這是一種在大量的潛在的目標中獲得遠程訪問權限的非常成功的方法。

　　Crowdstrike通知了受影響的客戶，并提醒谷歌注意廣告濫用問題。

　　報告指出：看來谷歌已經迅速采取了行動，因為在撰寫本博客時，搜索引擎已不再提供該廣告了。

　　廣告平臺與用戶互相對立

　　Coalfire公司的網(wǎng)絡執(zhí)行顧問Joseph Neumann說，當涉及到監(jiān)督網(wǎng)絡廣告內容時，谷歌需要承擔更多的責任。

　　諾伊曼告訴Threatpost：”像谷歌這樣的公司需要為用戶制定更好的內容篩選措施。否則安全事故很可能會對他們目前的商業(yè)模式產生很大的影響。“

　　根據(jù)谷歌的說法，它會使用人工和自動工具組合的方式一起來審查內容，防止廣告的濫用。它描述道：”谷歌正在積極與受信任的廣告商和合作伙伴合作，防止廣告中出現(xiàn)惡意軟件，我們會使用谷歌的專有技術和惡意軟件檢測工具來定期掃描廣告?！?/p>

　　盡管谷歌在努力減少網(wǎng)絡上的惡意廣告的數(shù)量，一些專家認為廣告巨頭和其他公司還有很多要做。

　　Vectra AI的首席營銷官Jennifer Geisler告訴Threatpost，她認為這些平臺需要承擔更多的社會責任，采取更多措施阻止網(wǎng)絡犯罪分子進行攻擊。

　　她說：”正如SolarWinds因其平臺被破壞而被叫停一樣，當攻擊者繞過系統(tǒng)侵犯終端用戶時，那么是時候要對其他平臺實施同樣的治理方式了?！?/p>