Novo grupo de hackers usa AnyDesk como porta de entrada para roubo de dados
Um novo grupo de hackers encontra-se a explorar uma nova campanha maliciosa, com o objetivo de roubar dados dos utilizadores usando falsos serviços de atualização do sistema operativo.
Apelidado de “Mad Liberator”, o grupo foi recentemente descoberto pelos investigadores da Sophos, sendo que as suas atividades são igualmente recentes. No entanto, as campanhas e atividades do grupo para ataques têm vindo a aumentar de forma considerável no curto espaço de tempo em que se encontram ativos.
Os primeiros ataques do grupo foram reportados em julho, mas o número tem vindo a aumentar de forma considerável, colocando o nome e a forma de ataque a ter em consideração.
O ponto de entrada para o ataque pelo grupo encontra-se no AnyDesk. Acredita-se que o mesmo esteja a realizar um ataque alargado contra ligações do AnyDesk, onde as vitimas recebem apenas um pedido de ligação remoto pela aplicação, caso a tenha ativa e instalada no sistema.
Os atacantes parecem estar a realizar estas ligações de forma aleatória, possivelmente na esperança de que alguma vítima aceite o pedido quando o mesmo é recebido. Não aparenta existir um padrão concreto para o ataque, portanto trata-se de um processo de “tentativa e erro”.
Quando a ligação é aceite, os atacantes procedem com a apresentação de um falso ecrã de atualização do Windows para as vítimas, que aparenta encontrar-se a realizar a atualização do sistema. No entanto, a ideia será distrair a vítima enquanto o atacante usa o sistema de transferência de Ficheiros do Anydesk para proceder com o roubo de dados do sistema, e eventual remoção dos mesmos.
Enquanto o falso ecrã de atualização do Windows é apresentado, o teclado da vítima é igualmente desativado, para prevenir que possa ser usado para contornar o bloqueio. Nos ataques identificados pelos investigadores, apenas dados foram roubados do sistema, sendo que não foram aplicadas outras técnicas como as de ransomware.
No entanto, os atacantes ainda deixam uma mensagem no sistema das vítimas, a indicar que os seus dados foram roubados, e que para prevenir que sejam publicamente divulgados deve ser feito um pagamento. Caso o pagamento não seja realizado, os dados roubados são publicados no site dos atacantes na dark web.
Acredita-se que o grupo usa apenas esta técnica para chegar às suas eventuais vítimas, sem casos reportados de ataques diferentes ou de phishing.