一旦成功创建连接,攻击者就会发送名为Microsoft Windows Update的运行档并打开。而这个程序的作用,就是模仿操作系统更新的画面,让用户误以为电脑正在安装更新程序。研究人员指出,由于这支程序不会运行其他恶意行为,大部分的杀毒软件并未视为有害。
为了避免用户按下Esc键让程序停止运作拆穿计谋,这些黑客滥用AnyDesk的功能,停用用户端的键盘及鼠标。
正当用户以为电脑在运行系统更新作业的时候,黑客通过AnyDesk进行远程存取,先是存取受害者的OneDrive帐号、网络共享文件夹,然后借由AnyDesk的文件传输功能将偷到的数据外流,并留下勒索消息。接着,黑客利用Advanced IP Scanner试图寻找其他下手目标。
这起攻击行动持续了接近4个小时,攻击者最终切断AnyDesk连接,并留下作案的文件,但并未使用工作调度或其他自动化的方式再度启动。对此,研究人员呼吁,企业应管制AnyDesk存取控制名单,仅允许来自指定设备的连接,避免遭遇类似的攻击。