0
0
Cibercrime usa milhares de sites falsos para enviar malware ladrão.
Uma campanha de distribuição do malware Vidar que utiliza mais de 1.300 domínios para se passar pelo site oficial do AnyDesk está em andamento, todos redirecionando para uma pasta do Dropbox empurrando o malware de roubo de informações.
O AnyDesk é um aplicativo popular da AnyDesk Software para trabalho remoto que opera com os sistemas operacionais Windows, Linux e macOS, usado por milhões de pessoas em todo o mundo para conectividade remota segura ou administração de sistemas.
Devido à popularidade da ferramenta, as campanhas de distribuição de malware costumam usar a marca AnyDesk. Por exemplo, em outubro do ano passado, a Cyble relatou que os operadores do Mitsu Stealer estavam usando um site de phishing AnyDesk para enviar seu novo malware.
A nova campanha, ainda em andamento, foi detectada pelo analista de ameaças da SEKOIA crep1x, que alertou sobre isso no Twitter e compartilhou a lista completa dos nomes de host maliciosos. Todos esses nomes de host resolvem para o mesmo endereço IP de 185.149.120[.]9.
A lista de nomes de host inclui typosquats para AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, aplicativos de negociação de criptomoedas e outros softwares populares. No entanto, independentemente do nome, todos levam ao mesmo site clone do AnyDesk.
No momento, a maioria dos domínios ainda está online, enquanto outros foram relatados e colocados offline pelos registradores ou bloqueados por ferramentas antivírus. Mesmo para os sites que estão no ar, seus links do Dropbox não funcionam mais depois que o arquivo malicioso foi relatado ao serviço de armazenamento em nuvem.
No entanto, como todas essas campanhas apontam para o mesmo site, o operador da ameaça pode corrigir isso facilmente atualizando o URL de download para outro site.
Todos os sites levam ao Vidar Stealer
Na campanha recém-descoberta, os sites estavam distribuindo um arquivo ZIP chamado ‘AnyDeskDownload.zip’ [VirusTotal] que fingia ser um instalador do software AnyDesk. No entanto, em vez de instalar o software de acesso remoto, ele instala o Vidar stealer, um malware para roubo de informações que circula desde 2018.
Quando instalado, o malware rouba o histórico do navegador das vítimas, credenciais de conta, senhas salvas, dados da carteira de criptomoedas, informações bancárias e outros dados confidenciais. Esses dados são enviados de volta aos invasores, que podem usá-los para outras atividades maliciosas ou vendê-los a outros operadores de ameaças.
Os usuários geralmente acabam nesses sites depois de pesquisar no Google por versões piratas de software e jogos. Eles então são levados a 108 domínios de segundo estágio que os redirecionam para o destino final de 20 domínios que entregam as cargas maliciosas.
Em vez de esconder a carga de malware atrás do redirecionamentos para evitar a detecção e remoções, a recente campanha do Vidar usou o serviço de hospedagem de arquivos Dropbox, que é confiável para ferramentas AV, para entregar a carga maliciosa.
Alguns dias atrás, a SEKOIA publicou um relatório revelando outra campanha massiva de distribuição de roubo de informações usando 128 sites que promovem software crackeado. Não está claro se todas essas campanhas de malware estão relacionadas aos sites falsos do AnyDesk.
Os usuários são aconselhados a marcar os sites que usam para baixar software, evitar clicar em resultados “promovidos” (anúncios) na busca do Google e encontrar o URL oficial de um projeto de software na página da Wikipedia, na documentação ou no gerenciador de pacotes do sistema operacional.
FONTE: CISO ADVISOR