在Windows作业系统自动更新时,电脑通常必须重新启动,这段过程完全无法使用,最近有攻击者制造电脑正在更新的假象,借此从容地偷取受害电脑的资料。
一旦成功建立连线,攻击者就会传送名为Microsoft Windows Update的执行档并开启。而这个程式的作用,就是模仿作业系统更新的画面,让使用者误以为电脑正在安装更新程式。研究人员指出,由于这支程式不会执行其他恶意行为,大部分的防毒软体并未视为有害。
为了避免使用者按下Esc键让程式停止运作拆穿计谋,这些骇客滥用AnyDesk的功能,停用用户端的键盘及滑鼠。
正当用户以为电脑在执行系统更新作业的时候,骇客透过AnyDesk进行远端存取,先是存取受害者的OneDrive帐号、网路共享资料夹,然后借由AnyDesk的档案传输功能将偷到的资料外流,并留下勒索讯息。接著,骇客利用Advanced IP Scanner试图寻找其他下手目标。
这起攻击行动持续了接近4个小时,攻击者最终切断AnyDesk连线,并留下作案的档案,但并未使用工作排程或其他自动化的方式再度启动。对此,研究人员呼吁,企业应管制AnyDesk存取控制名单,仅允许来自指定设备的连线,避免遭遇类似的攻击。