Kada korisnik pokuša da preuzme AnyDesk aplikaciju sa Internet stranice, može da otvori lažnu Internet stranicu koja izgleda isto kao i prava. Preuzimanjem AnyDesk softvera sa takve Internet stranice, dolazi i do preuzimanja ransomware-a. Pokretanjem instalacije dolazi do instalacije Allakore RAT klijenta i alata za preuzimanje Babuk ransomware-a. Tokom proces instalacije vrši se gašenje Windows User Account Controls (UAC), gašenje Windows Defender-a i određene putanje se izuzimaju od skeniranja. Pored toga, vrši se pretraga za drugim antivirusnim softverima, traži se od korisnika njihovo brisanje, a nakon toga i provjera da li je to urađeno. Kako bi se dodatno osigurao, zlonamjerni softver će onemogućiti i Task manager i dodatno onemogućiti sve module Windows Defender-a. Na kraju kako bi se zadovoljila potreba korisnika i izbjegla sumnja, AnyDesk će biti stvarno instaliran na uređaju.
 |
| Lažna Internet stranica - Izvor: Quick Heal blog |
Trenutno se ne može identifikovati napadač odgovoran za ovaj napad. Smatra se da ovaj način infekcije može imati uticaj na veliki broj korisnika AnyDesk softvera. Korisnici bi trebali da budu oprezni i da softver preuzimaju isključivo sa službene stranice proizvođača. Takođe, potrebno je koristiti provjereno antivirusno rješenje i voditi računa da je uvijek ažurirano.
