Μια νέα μεγάλη επίθεση βρίσκεται σε εξέλιξη, εκμεταλλευόμενη 1.300 domains που υποδύονται τον νόμιμο ιστότοπο AnyDesk. Τα ψεύτικα AnyDesk sites ανακατευθύνουν τα θύματα σε έναν φάκελο Dropbox που περιέχει το Vidar malware. Πρόκειται για ένα κακόβουλο λογισμικό κλοπής πληροφοριών.
Με εκατομμύρια χρήστες σε όλο τον κόσμο, το AnyDesk είναι από τις πιο δημοφιλείς remote desktop εφαρμογές για Windows, Linux και macOS. Χρησιμοποιείται για ασφαλή σύνδεση σε υπολογιστές απομακρυσμένα και για τη διαχείριση συστημάτων με ευκολία.
Καθώς το AnyDesk είναι ένα εξαιρετικά δημοφιλές εργαλείο, οι εγκληματίες του κυβερνοχώρου το εκμεταλλεύονται προς το συμφέρον τους. Για παράδειγμα, η Cyble ανέφερε τον Οκτώβριο του 2022 ότι οι δημιουργοί του Mitsu Stealer είχαν δημιουργήσει ένα AnyDesk phishing site για να διανείμουν το κακόβουλο λογισμικό τους.
Δείτε επίσης: Η Auth0 έφτιαξε το RCE «σφάλμα» στη JsonWebToken βιβλιοθήκη
Πρόσφατα, ο αναλυτής απειλών της SEKOIA, crep1x, αποκάλυψε τη νέα καμπάνια που εκμεταλλεύεται το AnyDesk για τη διανομή του Vidar malware και την ανέδειξε μέσω Twitter. Η ανακοίνωση συνοδευόταν από έναν πλήρη κατάλογο κακόβουλων hostnames που συνδέονται με μία διεύθυνση IP: 185.149.120[.]9.
Η λίστα των hostnames περιλαμβάνει typosquats για τα AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, εφαρμογές συναλλαγών κρυπτονομισμάτων και άλλο δημοφιλές λογισμικό.
Ωστόσο, ανεξάρτητα από το όνομα, όλα οδηγούν στον ίδιο ιστότοπο-κλώνο του AnyDesk.
Πολλά από τα domains εξακολουθούν να είναι ενεργά, ενώ άλλα έχουν αναφερθεί και αφαιρεθεί από τους registrars ή έχουν αποκλειστεί από εργαλεία AV. Ακόμη και για τους ιστότοπους που είναι online, οι σύνδεσμοι Dropbox δεν λειτουργούν πλέον μετά την αναφορά του κακόβουλου αρχείου στην υπηρεσία αποθήκευσης cloud.
Ωστόσο, καθώς όλη αυτή η καμπάνια οδηγεί στον ίδιο ιστότοπο, οι επιτιθέμενοι μπορούν εύκολα να ενημερώσουν το download URL σε άλλο ιστότοπο.
Vidar Stealer malware
Στη νέα εκστρατεία, οι κακόβουλοι ιστότοποι διακινούσαν ένα αρχείο ZIP με το όνομα ‘AnyDeskDownload.zip’ [VirusTotal], το οποίο παρουσιαζόταν ως πρόγραμμα εγκατάστασης για το λογισμικό AnyDesk.
Δείτε επίσης: Dridex malware: Επέστρεψε μολύνοντας Mac υπολογιστές
Ωστόσο, αντί να εγκαταστήσει το λογισμικό απομακρυσμένης πρόσβασης, εγκαθιστά το Vidar stealer – ένα κακόβουλο λογισμικό που κλέβει πληροφορίες και κυκλοφορεί από το 2018.
Το malware είναι σε θέση να κλέψει ιστορικό προγραμμάτων περιήγησης, credentials λογαριασμών, κωδικούς πρόσβασης που έχουν αποθηκευτεί σε προγράμματα περιήγησης και δεδομένα από crypto wallets, τραπεζικές πληροφορίες ή άλλα ευαίσθητα δεδομένα. Αυτά στη συνέχεια μεταφέρονται στους επιτιθέμενους, οι οποίοι μπορούν είτε να τα εκμεταλλευτούν για περισσότερες κακόβουλες δραστηριότητες είτε να τα πουλήσουν σε άλλους εγκληματίες.
Οι χρήστες συνήθως καταλήγουν στα ψεύτικα sites AnyDesk και στα υπόλοιπα κακόβουλα sites, αναζητώντας στη Google πειρατικές εκδόσεις λογισμικού και παιχνιδιών. Στη συνέχεια οδηγούνται σε 108 domains δεύτερου σταδίου που τους ανακατευθύνουν στον τελικό προορισμό 20 domains που παραδίδουν τα κακόβουλα payloads.
Σε αντίθεση με τη συνήθη τακτική της απόκρυψης του malware payload με ανακατευθύνσεις (προκειμένου να αποφευχθεί ο εντοπισμός) η πρόσφατη εκστρατεία Vidar βασίστηκε σε μια πιο πονηρή μέθοδο: χρησιμοποίησε την υπηρεσία φιλοξενίας αρχείων του Dropbox. Επειδή θεωρείται ασφαλής από τα εργαλεία προστασίας από ιούς, η χρήση της επέτρεψε την παράδοση των επικίνδυνων payloads χωρίς να ειδοποιηθούν τα συστήματα ασφαλείας.
Δείτε επίσης: Apple: Ομαδική αγωγή λόγω παραβίασης ρυθμίσεων απορρήτου
Για να προστατευτείτε από τέτοιου είδους μολύνσεις, πρέπει να είστε πολύ προσεκτικοί με τα sites που ανοίγετε και ακόμα πιο προσεκτικοί με τα προγράμματα που κατεβάζετε στις συσκευές σας. Κατά τη λήψη ενός πειρατικού λογισμικού πάντα υπάρχει ο κίνδυνος μόλυνσης με κακόβουλο λογισμικό. Το Vidar malware αποτελεί σοβαρή απειλή γιατί μπορεί να κλέψει σημαντικές πληροφορίες. Χρησιμοποιώντας ισχυρό λογισμικό κατά του κακόβουλου λογισμικού και λαμβάνοντας συνεχή ενημέρωση σχετικά με τις ασφαλείς διαδικτυακές πρακτικές, μπορείτε να μειώσετε σημαντικά τον κίνδυνο μόλυνσης.
Πηγή: www.bleepingcomputer.com