公式の AnyDesk サイトになりすますために 1,300 以上のドメインを使用する大規模なキャンペーンが進行中であり、すべてが Dropbox フォルダにリダイレクトされ、最近では情報を盗むマルウェア Vidar がプッシュされています。
AnyDesk は、Windows、Linux、および macOS 向けの人気のあるリモート デスクトップ アプリケーションであり、世界中の何百万人もの人々が安全なリモート接続やシステム管理を行うために使用しています。
このツールの人気により、マルウェア配布キャンペーンは AnyDesk ブランドを悪用することがよくあります。たとえば、2022 年 10 月、 Cyble は、Mitsu Stealer のオペレーターが AnyDesk フィッシング サイトを使用して新しいマルウェアをプッシュしていたと報告しました。
新たに進行中の AnyDesk キャンペーンは、SEKOIA の脅威アナリストである crep1xによって発見されました。彼は Twitter で警告し、悪意のあるホスト名の完全なリストを共有しました。これらのホスト名はすべて、185.149.120[.]9 という同じ IP アドレスに解決されます。
ホスト名のリストには、AnyDesk、MSI Afterburner、7-ZIP、Blender、Dashlane、Slack、VLC、OBS、暗号通貨取引アプリ、およびその他の一般的なソフトウェアのタイポスクワットが含まれています。
ただし、名前に関係なく、それらはすべて、以下に示す同じ AnyDesk クローン サイトにつながります。
これを書いている時点で、ほとんどのドメインはまだオンラインですが、他のドメインはレジストラによって報告されてオフラインになっているか、AV ツールによってブロックされています.稼働しているサイトでも、悪意のあるファイルがクラウド ストレージ サービスに報告された後、Dropbox リンクは機能しなくなりました。
ただし、このキャンペーンはすべて同じサイトを指しているため、攻撃者はダウンロード URL を別のサイトに更新することで、これを簡単に修正できます。
すべてのサイトが Vidar Stealer につながる
新たに発見されたキャンペーンでは、AnyDesk ソフトウェアのインストーラーを装った「AnyDeskDownload.zip」[ VirusTotal ] という名前の ZIP ファイルが配布されていました。
ただし、リモート アクセス ソフトウェアをインストールする代わりに、2018 年から出回っている情報を盗むマルウェアである Vidar スティーラーをインストールします。
マルウェアがインストールされると、被害者のブラウザの履歴、アカウントの資格情報、保存されたパスワード、暗号通貨のウォレット データ、銀行情報、およびその他の機密データが盗まれます。このデータは攻撃者に送り返され、攻撃者はさらに悪意のある活動に使用したり、他の攻撃者に販売したりする可能性があります。
ユーザーは通常、Google でソフトウェアやゲームの海賊版を検索した後、これらのサイトにたどり着きます。その後、108 の第 2 段階のドメインに誘導され、悪意のあるペイロードを配信する 20 のドメインの最終宛先にリダイレクトされます。
最近の Vidar キャンペーンでは、マルウェア ペイロードをリダイレクトの背後に隠して検出と削除を回避する代わりに、アンチウイルス ツールによって信頼されている Dropbox ファイル ホスティング サービスを使用してペイロードを配信しました。
は最近、 27 のソフトウェア ブランドになりすました 200 以上のタイポスクワッティング ドメインに依存するキャンペーンによって、Vidar がプッシュされているのを確認しました。
数日前、SEKOIA は、クラックされたソフトウェアを宣伝する128 の Web サイトを使用した別の大規模な情報窃盗キャンペーンを明らかにするレポートを公開しました。
これらのマルウェア キャンペーンのすべてが偽の AnyDesk サイトに関連しているかどうかは不明です。
ユーザーは、ソフトウェアのダウンロードに使用するサイトをブックマークし、Google 検索で宣伝された結果 (広告) をクリックしないようにし、Wikipedia ページ、ドキュメント、または OS のパッケージ マネージャーからソフトウェア プロジェクトの公式 URL を見つけることをお勧めします。
Comments