¡Atención, usuarios de AnyDesk! Enorme campaña de phishing que involucra más de 1300 dominios proporciona al ladrón de información de Vidar haciéndose pasar por AnyDesk. Los usuarios siempre deben asegurarse de descargar AnyDesk o cualquier otro software de sitios web oficiales y legítimos para evitar tales amenazas.
La campaña de phishing de AnyDesk impulsa el ladrón de información de Vidar
El investigador de seguridad y analista de amenazas de SEKOIA.IO, que tiene un alias crep1x en Twitter, recientemente compartió detalles de una campaña de phishing en curso que explota AnyDesk.
Como se describió, los atacantes detrás de esta campaña configuraron más de 1300 dominios que redirigen a los usuarios a un sitio web falso que imita el diseño del sitio de AnyDesk para engañar a los usuarios. De esta forma, los actores de amenazas pretenden entregar el ladrón de información Vidar a las posibles víctimas.
Vidar es un potente troyano que roba datos que apareció en los titulares en 2018. Por lo general, llega a los dispositivos de destino a través de la publicidad maliciosa y se instala furtivamente en el dispositivo para robar información confidencial, principalmente contraseñas registradas.
Hasta la fecha, Vidar ha estado involucrado en numerosas campañas de spam y phishing, dirigidas a víctimas en todo el mundo.
Según crep1x, recientemente detectó más de 1300 dominios que entregan Vidar haciéndose pasar por instaladores falsos de AnyDesk. Los atacantes almacenaron el malware en un enlace de Dropbox al que todos los dominios redirigen a los usuarios. Además, todos los dominios se resuelven en la misma dirección IP.
Más de 1300 dominios albergan una página web que se hace pasar por el sitio web oficial de AnyDesk.
Todas las páginas web redireccionan al usuario al mismo enlace de Dropbox, descargando #vidar ladrón (botnet 586).
Todos los dominios resuelven la dirección IP 185.149.120[.]9
(¡una campaña bastante curiosa!) pic.twitter.com/vqbw34USwx
— crep1x (@crep1x) 8 de enero de 2023
Para evitar sospechas, los atacantes también usaron nombres erróneos para otro software popular como Slack, TeamViewer y VideoLAN. Pero todos los dominios apuntan a la misma página web que se hace pasar por AnyDesk.
Se utilizan errores tipográficos de varios software para nombres de dominio, incluidos 7zip, AnyDesk, Slack, TeamViewer, VideoLAN, pero todos los dominios muestran el sitio web de AnyDesk.
El actor de amenazas parece estar reutilizando dominios de otras campañas. No tengo idea de cómo se distribuyen estas páginas web.
Dominios ⬇️
— crep1x (@crep1x) 8 de enero de 2023
Según las respuestas compartidas en el feed de Twitter del investigador, algunos dominios maliciosos están alojados en NameCheap. Cuando se le alertó, NameCheap respondió «cuídese», mientras que los otros dominios alojados en DigitalOcean aún no se han eliminado.
Esta no es la primera campaña de phishing que explota AnyDesk. En octubre de 2022, los investigadores de Cybel también informaron sobre una campaña maliciosa que usaba los sitios de phishing de AnyDesk para propagar el malware Mitsu.
Háganos saber sus pensamientos en los comentarios.
