مهندسی اجتماعی کاربران anydesk با هدف اخاذی و افشای اطلاعات
به تازگی یک گروه هکری جدید با نام Mad Liberator، کاربران AnyDesk را هدف حمله قرار داده است. این گروه پس از پذیرش درخواست anydesk توسط قربانی، با نمایش یک صفحه بهروزرسانی جعلی ویندوز در پشت زمینه، اطلاعات کاربران را به سرقت میبرد و پس از مدتی از قربانی برای عدم افشای اطلاعات وی اخاذی میکند. این گروه هکری تاکنون اطلاعات 9 قربانی را در وبسایت خود افشا کرده است.
حمله Mad Liberator با اتصال ناخواسته به رایانه با استفاده از برنامه دسترسی از راه دور AnyDesk که در بین تیمهای فناوری اطلاعات محبوب است آغاز میشود. مشخص نیست که مهاجم چگونه اهداف خود را انتخاب میکند، اما ممکن است شناسههای اتصال AnyDesk را تا زمانی که کسی درخواست اتصال را بپذیرد امتحان کند.
هنگامی که درخواست اتصال تأیید شد، مهاجم یک فایل باینری به نام Microsoft Windows Update را روی سیستم قربانی قرار میدهد که یک صفحه نمایش جعلی به روزرسانی ویندوز را نشان میدهد. مهاجم از این ترفند برای منحرف کردن حواس قربانی استفاده میکند و در پشت زمینه از ابزار AnyDesk’s File Transfer برای سرقت دادهها از حسابهای OneDrive، اشتراکهای شبکه و حافظه محلی استفاده میکند. در زمان نمایش صفحه بهروزرسانی جعلی، صفحهکلید قربانی غیرفعال میشود تا از اختلال در فرآیند سرقت اطلاعات جلوگیری شود.
در حملات مشاهده شده توسط شرکت سوفوس که تقریباً چهار ساعت به طول انجامیده این گروه پس از سرقت اطلاعات هیچ گونه رمزگذاری بر روی دادهها انجام نداده است. با این حال، یادداشتهای باجگیری را به اشتراک گذاشته تا از دیده شدن به اندازه کافی در محیط شرکت اطمینان حاصل کند.
این گروه برای اخاذی از کاربران ابتدا با شرکتهای قربانی تماس میگیرد و پیشنهاد میکند در صورت برآورده شدن مطالبات مالی آنها، به آنها کمک کنند تا مشکلات امنیتی خود را برطرف کرده و فایلهای رمزگذاری شده را بازیابی کنند. اگر شرکت قربانی در 24 ساعت پاسخ ندهد، نام آنها در پورتال اخاذی منتشر میشود و هفت روز فرصت داده میشود تا با مهاجمان تماس بگیرند. پس از گذشت پنج روز دیگر، در صورت عدم پرداخت باج، تمامی اطلاعات سرقت شده در وبسایت Mad Liberator منتشر میشود. این گروه تاکنون اطلاعات 9 قربانی را منتشر کرده است.