一旦成功建立連線,攻擊者就會傳送名為Microsoft Windows Update的執行檔並開啟。而這個程式的作用,就是模仿作業系統更新的畫麵,讓使用者誤以為電腦正在安裝更新程式。研究人員指出,由於這支程式不會執行其他惡意行為,大部分的防毒軟體並未視為有害。
為了避免使用者按下Esc鍵讓程式停止運作拆穿計謀,這些駭客濫用AnyDesk的功能,停用用戶端的鍵盤及滑鼠。
正當用戶以為電腦在執行系統更新作業的時候,駭客透過AnyDesk進行遠端存取,先是存取受害者的OneDrive帳號、網路共享資料夾,然後藉由AnyDesk的檔案傳輸功能將偷到的資料外流,並留下勒索訊息。接著,駭客利用Advanced IP Scanner試圖尋找其他下手目標。
這起攻擊行動持續了接近4個小時,攻擊者最終切斷AnyDesk連線,並留下作案的檔案,但並未使用工作排程或其他自動化的方式再度啟動。對此,研究人員呼籲,企業應管制AnyDesk存取控制名單,僅允許來自指定設備的連線,避免遭遇類似的攻擊。