یک گروه جدید اخاذی داده که تحت عنوان Mad Liberator ردیابی میشود، کاربران AnyDesk را هدف قرار میدهد.
در این کمپین، نفوذگر یک صفحه بهروزرسانی جعلی مایکروسافت ویندوز را اجرا میکند تا با این ترفند در حین استخراج دادهها از دستگاه مورد نظر، حواس کاربر را منحرف کند. این عملیات در ماه ژوئیه رخ داد و محققان حادثهای شامل رمزگذاری دادهها را مشاهده نکردهاند. این باند همچنین در سایت نشت دادههای خود خاطر نشان کرد که از الگوریتمهای AES/RSA برای قفل کردن فایلها استفاده میکند.
در گزارشی از شرکت امنیت سایبری Sophos، محققان بیان کردند که حمله Mad Liberator با اتصال ناخواسته به رایانه و با استفاده از برنامه دسترسی از راه دور محبوب AnyDesk شروع میشود. Mad Liberator آدرسهای بالقوه (شناسههای اتصال AnyDesk) را تا زمانی که یک کاربر درخواست اتصال را بپذیرد، امتحان میکند.
پس از تایید درخواست اتصال، مهاجمان یک باینری به نام Microsoft Windows Update را روی سیستم در معرض خطر قرار میدهند که یک صفحه نمایش جعلی Windows Update را نشان میدهد.
تنها هدف این شگرد منحرفسازی حواس قربانی است در حالی که عامل تهدید با استفاده از ابزار AnyDesk’s File Transfer به سرقت دادهها از حسابهای OneDrive، اشتراکهای شبکه و حافظه محلی اقدام میکند. گفتنی است که در طول نمایش صفحه بهروزرسانی جعلی، با غیرفعالسازی صفحه کلید کاریر از اختلال در فرآیند خروج جلوگیری میشود.
https://www.bleepingcomputer.com/news/security/new-mad-liberator-gang-uses-fake-windows-update-screen-to-hide-data-theft/
