趨勢科技最近發現了一隻新的勒索病毒(偵測為RANSOM_BLACKHEART.THDBCAH),它的惡意行為包括帶入並執行一個合法工具 – AnyDesk。這並非惡意軟體第一次濫用類似工具。一個擁有超過2億名使用者的工具 – TeamViewer也在之前被勒索病毒利用受害者連線來散播。
但在本案例中,RANSOM_BLACKHEART將合法程式和惡意軟體捆綁在一起,而非是利用AnyDesk來進行散播。
使用者有可能在瀏覽惡意網站時不自覺地下載了 RANSOM_BLACKHEART 勒索病毒
雖然 RANSOM_BLACKHEART具體是如何進入系統仍屬未知,但我們知道使用者有可能在瀏覽惡意網站時不自覺地下載了勒索病毒 Ransomware (勒索軟體/綁架病毒)。
一旦下載完成,RANSOM_BLACKHEART會產生並執行兩個檔案:
- %User Temp%\ANYDESK.exe
- %User Temp%\BLACKROUTER.exe
圖1、RANSOM_BLACKHEART產生的檔案
如前所述,第一個檔案包含了 AnyDesk,這是個功能強大的應用程式,可以在不同桌面作業系統(包括Windows、MacOS、Linux和FreeBSD)間進行雙向遠端控制,並且可以在Android和iOS上進行單向存取。此外,它還可以傳輸檔案,提供聊天客戶端及記錄連線內容。要注意的是,攻擊者所用的是舊版AnyDesk而非目前的版本。
圖2、我們所分析樣本所帶的 AnyDesk使用者介面
