Oltre 1.300 falsi siti AnyDesk spingono il malware Vidar che ruba informazioni
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 11 Gennaio 2023
Tags: #sicurezza, #privacy, #anydesk
Tags: #sicurezza, #privacy, #anydesk
Oltre 1.300 falsi siti AnyDesk spingono il malware Vidar che ruba informazioni
È in corso una massiccia campagna che utilizza oltre 1.300 domini per impersonare il sito ufficiale di AnyDesk, tutti reindirizzati a una cartella Dropbox che ha recentemente spinto il malware Vidar che ruba informazioni.
AnyDesk è una popolare applicazione desktop remoto per Windows, Linux e macOS, utilizzata da milioni di persone in tutto il mondo per la connettività remota sicura o per eseguire l'amministrazione del sistema.
A causa della popolarità dello strumento, le campagne di distribuzione di malware spesso abusano del marchio AnyDesk. Ad esempio, nell'ottobre 2022, Cyble ha riferito che gli operatori di Mitsu Stealer stavano utilizzando un sito di phishing AnyDesk per inviare il loro nuovo malware.
La nuova campagna AnyDesk in corso è stata individuata dall'analista delle minacce di SEKOIA crep1x, che ne ha avvertito su Twitter e ha condiviso l'elenco completo dei nomi host dannosi. Tutti questi nomi host si risolvono nello stesso indirizzo IP di 185.149.120[.]9.
L'elenco dei nomi host include typosquat per AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, app di trading di criptovalute e altri software popolari.
Tuttavia, indipendentemente dal nome, portano tutti allo stesso sito clone di AnyDesk, mostrato di seguito.
Al momento della stesura di questo articolo, la maggior parte dei domini è ancora online, mentre altri sono stati segnalati e portati offline dai registrar o bloccati dagli strumenti AV. Anche per i siti attivi, i loro collegamenti Dropbox non funzionano più dopo che il file dannoso è stato segnalato al servizio di cloud storage.
Tuttavia, poiché tutte queste campagne puntano allo stesso sito, l'autore della minaccia può risolvere facilmente il problema aggiornando l'URL di download su un altro sito.
Tutti i siti portano a Vidar Stealer
Nella campagna appena scoperta, i siti distribuivano un file ZIP denominato "AnyDeskDownload.zip" [VirusTotal] che fingeva di essere un programma di installazione del software AnyDesk.
Tuttavia, invece di installare il software di accesso remoto, installa Vidar stealer, un malware per il furto di informazioni in circolazione dal 2018.
Una volta installato, il malware ruberà la cronologia del browser delle vittime, le credenziali dell'account, le password salvate, i dati del portafoglio di criptovaluta, le informazioni bancarie e altri dati sensibili. Questi dati vengono quindi rispediti agli aggressori, che potrebbero utilizzarli per ulteriori attività dannose o venderli ad altri autori di minacce.
Gli utenti in genere finiscono su questi siti dopo aver cercato su Google versioni piratate di software e giochi. Vengono quindi indirizzati a 108 domini di seconda fase che li reindirizzano alla destinazione finale di 20 domini che forniscono i payload dannosi.
Invece di nascondere il payload del malware dietro i reindirizzamenti per eludere il rilevamento e le rimozioni, la recente campagna Vidar ha utilizzato il servizio di hosting di file Dropbox, di cui si fidano gli strumenti AV, per consegnare il payload.
BleepingComputer ha recentemente visto Vidar spinto da una campagna basata su oltre 200 domini di typosquatting che impersonavano 27 marchi di software.
Qualche giorno fa, SEKOIA ha pubblicato un rapporto che rivela un'altra massiccia campagna di distribuzione di ladri di informazioni utilizzando 128 siti Web che promuovono software crackato.
Tuttavia, come ha detto il ricercatore a BleepingComputer, non c'è sovrapposizione tra le due campagne.
Si consiglia agli utenti di aggiungere ai segnalibri i siti che utilizzano per scaricare software, evitare di fare clic sui risultati promossi (annunci) in Ricerca Google e trovare l'URL ufficiale di un progetto software dalla pagina Wikipedia, dalla documentazione o dal gestore di pacchetti del sistema operativo.