Хакерская группировка вымогателей данных, известная как Mad Liberator, начала активно использовать приложение удалённого доступа AnyDesk для кражи данных пользователей.
Злоумышленники создают фальшивый экран обновления Windows, чтобы отвлечь внимание пользователей, пока крадут данные с устройств. Хотя группа не использует шифрование данных, на сво§м сайте Mad Liberator заявляет, что файлы заблокированы с помощью алгоритмов AES/RSA.
Как пишет портал Bleeping Computer, атаки начинаются с несанкционированного подключения к компьютеру через AnyDesk. Каким образом выбираются цели, неизвестно. Однако, по одной из версий, хакеры «пробивают» потенциальные адреса, пока кто-то не примет запрос на подключение.
После этого злоумышленники заменяют бинарный файл Microsoft Windows Update на взломанной системе, отображая фальшивый экран обновления. Это служит для отвлечения жертвы.
Во время обновления клавиатура жертвы деактивируется, чтобы не помешать краже данных. Mad Liberator использует инструмент AnyDesk File Transfer для кражи данных из учётных записей OneDrive, сетевых ресурсов и локального хранилища.
Источник: www.ferra.ru