Attention, utilisateurs d’AnyDesk ! Une énorme campagne de phishing impliquant plus de 1300 domaines livre le voleur d’informations Vidar en imitant AnyDesk. Les utilisateurs doivent toujours s’assurer de télécharger AnyDesk, ou tout autre logiciel, sur les sites officiels et légitimes pour éviter de telles menaces.
La campagne de phishing AnyDesk diffuse le voleur d’informations Vidar
Le chercheur en sécurité et analyste des menaces de SEKOIA.IO, ayant l’alias crep1x sur Twitter, a récemment partagé des détails sur une campagne de phishing en cours exploitant AnyDesk.
Comme décrit, les attaquants derrière cette campagne ont mis en place plus de 1300 domaines qui redirigent les utilisateurs vers un faux site Web imitant la mise en page du site d’AnyDesk pour tromper les utilisateurs. De cette façon, les acteurs de la menace visent à délivrer le voleur d’informations Vidar aux victimes potentielles.
Vidar est un puissant trojan voleur de données qui a fait parler de lui en 2018. Il atteint généralement les appareils cibles par le biais de malvertising et s’installe sournoisement sur l’appareil pour voler des informations sensibles, principalement des mots de passe enregistrés.
À ce jour, Vidar a été impliqué dans de nombreuses campagnes de spam et de phishing, ciblant des victimes dans le monde entier.
Selon crep1x, il a récemment repéré plus de 1300 domaines diffusant Vidar en se faisant passer pour de faux installateurs AnyDesk. Les attaquants ont stocké le malware sur un lien Dropbox vers lequel tous les domaines redirigent les utilisateurs. De plus, tous les domaines se résolvent à la même adresse IP.
1300+ domaines hébergent une page Web qui se fait passer pour le site officiel d’AnyDesk.
Toutes les pages Web redirigent l’utilisateur vers le même lien Dropbox, en téléchargeant #Vidar stealer (botnet 586).
Tous les domaines résolvent l’adresse IP 185.149.120[.]9
(une campagne plutôt curieuse !) pic.twitter.com/vqbw34USwx
– crep1x (@crep1x) 8 janvier 2023
Pour éviter toute suspicion, les attaquants ont également utilisé des noms typosquattés pour d’autres logiciels populaires comme Slack, TeamViewer et VideoLAN. Mais tous les domaines renvoient à la même page Web qui se fait passer pour AnyDesk.
Le typosquattage de divers logiciels est utilisé pour les noms de domaine, notamment 7zip, AnyDesk, Slack, TeamViewer, VideoLAN – mais tous les domaines affichent le site Web d’AnyDesk
L’acteur de la menace semble réutiliser les domaines d’autres campagnes. Aucune idée de la façon dont ces pages Web se distribuent
Domaines ⬇️
– crep1x (@crep1x) 8 janvier 2023
D’après les réponses partagées sur le fil Twitter du chercheur, certains domaines malveillants sont hébergés sur NameCheap. Lorsqu’elle a été alertée, NameCheap a répondu de “s’en occuper”, tandis que les autres domaines hébergés sur DigitalOcean n’ont pas encore été supprimés.
Ce n’est pas la première campagne de phishing qui exploite AnyDesk. En octobre 2022, les chercheurs de Cybel ont également signalé une campagne malveillante utilisant les sites de phishing AnyDesk pour diffuser le malware Mitsu.
Fais-nous part de tes réflexions dans les commentaires.
